今日は、マイクロソフトの 2009 年最後の Patch Tuesday でした。マイクロソフトは合計 6 件の新しいセキュリティ情報をリリースしました。最も緊急性の高い情報は、既にエクスプロイト コードが存在する Internet Explorer のゼロデイ脆弱性に関連するものです。
緊急のセキュリティ問題や、アウトオブバンド更新を強制するような脆弱性が広まっていない限り、2009 年のセキュリティ情報の総数は 74 件となり、2008 年にリリースされた 78 件のセキュリティ情報から 5% 減少します。
まずMS09-072に対処する
専門家は、Internet Explorer の累積的なセキュリティ更新プログラムを含む MS09-072 セキュリティ情報は、Microsoft が今日リリースしたパッチの中では間違いなく最も緊急性の高いものであると口を揃えて述べています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏はメールで次のように述べています。「本日のMicrosoftからのニュースの中で最も重要なのは、Internet Explorerの重大なゼロデイ脆弱性の修正です。この脆弱性は、エクスプロイトコードが公開された際に、ユーザーにとって最大のセキュリティ上の懸念事項となりました。この問題の重大性を認識し、Microsoftはこの修正を最優先事項とし、約2週間で提供しました。」
nCircleのもう一人のセキュリティ専門家、シニアセキュリティエンジニアのタイラー・レグリー氏も、「今日、誰もが最初にチェックすべきはMS09-072のIEパッチです。これには、IEのゼロデイ脆弱性に対するパッチが含まれているからです。IEへのパッチ適用は常に重要ですが、この脆弱性が悪用されたことを考えると、できるだけ早くパッチを適用する必要があります」と同意しました。
Qualys脆弱性研究ラボのマネージャー、アモル・サルワテ氏に話を聞いたところ、彼は「MS09-072は間違いなく最も緊急性の高い脆弱性です。この脆弱性は3週間前に公開されました。攻撃者には概念実証と有効なエクスプロイトを開発する時間が3週間ありました。もしパッチを1つしか適用できないなら、それを適用すべきです」と総括しました。
レギュリー氏によると、MS09-072を除く今日のセキュリティ情報は、修正内容が寄せ集めのようで、アルファベットや頭字語が多数含まれており、LSASS、ADFS、IASなどが影響を受けているという。
しかし、全体的な視点から見ると、Internet Explorer にパッチを適用すれば、それほど緊急を要することはありません。Reguly 氏は、組織が残りのパッチを適切にテストしてから展開することを推奨しています。
インターネットエクスプローラーの失敗
ご存知ないかもしれませんが、「Internet Explorer の累積的な更新プログラム」は、Microsoft の月次セキュリティ情報リストに常に掲載されており、私の記憶では、常に「緊急」と評価されています。クラウドから直接実行されるアプリケーションやサービスが増えるにつれて、Web ブラウザはセキュリティ上の弱点としてますます重要になるでしょう。
私は Qualys の最高技術責任者である Wolfgang Kandek 氏と話をしました。同氏は、Qualys の顧客のかなりの割合が依然として Internet Explorer 6 に依存していることを指摘しました。同氏は、直面している弱点のほとんどは Internet Explorer 8 を導入するだけで排除できると示唆しました。
しかし、nCircle の Storms 氏は、「本日の IE アップデートには、Microsoft の最新ブラウザである IE8 にのみ影響する、これまで非公開だった 2 つの脆弱性に対する修正が含まれているため、Microsoft の安全なコード開発手法は再び精査されることになるだろう」と指摘している。
ストームズ氏はさらにこう述べた。「これらのバグはソフトウェア開発と品質保証のサイクルの中で発見されるべきだったという憶測をマイクロソフトが避けることはできませんが、現実にはこれは避けられないことでした。どの製品にもバグは存在し、機能が増えれば攻撃対象領域も拡大するのです。」
自分を落ち込ませないで
カンデック氏は、マイクロソフトはWindows 7に注力しており、自社と開発者を将来に注力させようとしているものの、Windows XPの膨大なインストール基盤を無視することはできないと考えている。マイクロソフトはレガシーOSのサポートを打ち切りたいと考えているかもしれないが、Windows XPは当面の間、存続するだろう。
注目すべきは、Windows 7がリリースされて以来公開されている12件のセキュリティ情報のいずれにも直接影響を受けていないことです。Windows 7は、MS09-072で対処されているInternet Explorerの問題によって間接的に影響を受けており、謎のブラックスクリーン(死の黒い画面)の原因については調査が続けられていますが、現時点ではWindows 7に確認された脆弱性は存在しません。
しかし、セキュリティの観点から見ると、Internet Explorer 6はIE8と比べてスイスチーズのような存在です。Web管理者やWebページの閲覧などを行うユーザーにとっては悪夢のような存在です。最近のMicrosoft Security Intelligence Reportによると、Windows XPはWindows 7よりも75%もセキュリティ侵害を受ける可能性が高くなっています。
これら2つの製品は、より新しい製品と比べると性能が低いにもかかわらず、多くの組織が依然としてこれらに依存しています。これらの組織は、Windows 7とInternet Explorer 8を改めて検討し、サポートコストの削減効果を検討する必要があります。
Windows XP と Internet Explorer 6 を使用していて、Microsoft 製品のセキュリティについて不満を言うのは、ボートの錨を引きずりながら車を運転して、燃費が悪いと不満を言うようなものです。
Tony Bradley は@PCSecurityNews としてツイートしており、彼のFacebook ページで連絡を取ることもできます。
