マイクロソフトは来週のパッチ火曜日について事前通知を発表しました。11月のアップデートの良い点は、セキュリティ情報が3件のみであることで、記録的な10月の後、比較的穏やかな月となります。悪い点は、最近発見されたIEのゼロデイ脆弱性が修正対象に含まれていないことです。
Microsoftによると、来週は3件のセキュリティ情報が公開され、合計11件の脆弱性が修正される予定です。影響を受ける製品は、Microsoft OfficeとMicrosoftのForefront Unified Access Gatewayです。Microsoft Officeの脆弱性のうち1つは特に懸念されるもので、「緊急」と評価されており、Office 2010を含むすべてのバージョンのOfficeに影響を与えます。
QualysのCTOであるWolfgang Kandek氏は、自身のブログで、今後のMicrosoftのパッチに関する専門家の見解を述べています。「Officeプログラムが『緊急』と評価されることは非常に稀です。Officeスイートの脆弱性の多くは、『重要』に分類されます。これは、通常、悪用を成功させるにはユーザーの操作が必要となるためです。ここでの『緊急』とは、ユーザーの操作なしに標的マシンを制御できる脆弱性を指します。例えば、MS10-064では、Outlookのプレビューウィンドウで電子メールを表示するだけで脆弱性が発動しました。」
Kandek氏の言う通りであれば、IT管理者は関連するセキュリティ情報を必ず確認し、適切なパッチをできるだけ早く適用するべきです。閲覧するだけでエクスプロイトが実行される可能性のあるものは、深刻なセキュリティ上の懸念事項です。少なくとも、ユーザーの操作が必要な場合、たとえわずかでも、数ヶ月にわたるセキュリティ意識向上トレーニングの成果が実を結び、ユーザーが添付ファイルを開いたり、不審なリンクをクリックしたりしないという常識を身につける可能性はあります。
IEのゼロデイ脆弱性は、どうやら来月まで対応を待たなければならないようだ。ただし、今月後半にアウトオブバンドアップデートがリリースされるほどの悪用が実際に行われない限りは。シマンテック・セキュリティ・レスポンスのブログ記事では、この脆弱性が最近、限定的な標的型攻撃でどのように利用されたかについて、「ハッカーは標的組織内の特定の個人にメールを送信した。メールには、本来は正当なウェブサイトにホストされている特定のページへのリンクが含まれていた」と説明されている。
幸いなことに、このゼロデイ脆弱性はInternet Explorer 6、そしておそらくIE7でのみ問題となります。Internet Explorer 8はDEP(データ実行防止)がデフォルトで有効になっているため保護されており、IE7を保護するにはオプションのDEP保護を有効にするだけで済みます。もう一つの選択肢は、この脆弱性を全く備えていないIE9のベータ版に切り替えることです。
