今日は Patch Tuesday です。2013 年で 6 回目になります。Patch Tuesday としては、6 月は比較的軽めの月です。セキュリティ情報はわずか 5 件で、「緊急」と評価されているのは 1 件だけですが、油断はできません。
2013年の最初の5か月間のセキュリティ情報の平均数は9件でした。6月のセキュリティ情報はわずか5件で、IT管理者が期待する数の約半分に過ぎません。少し落ち着いていられるのは良いことです。「緊急」セキュリティ情報はInternet Explorerの累積的な更新プログラム1件と、依然として迅速な対応が必要な「重要」セキュリティ情報が4件あります。
Tripwireのセキュリティリサーチディレクター、ラマー・ベイリー氏は、Internet Explorerの月次アップデートが当たり前になっていることを認めています。ベイリー氏は、1回のIEアップデートで19件もの脆弱性が修正されるというのは依然として異例だと指摘し、「これらの脆弱性のいずれかが悪用されるのは時間の問題だ」と述べています。
QualysのCTO、ヴォルフガング・カンデック氏も同意見です。カンデック氏はブログ記事の中で、MS13-047の脆弱性はIE6からIE10までのすべてのサポート対象バージョンのInternet Explorerに影響を及ぼすと強調しています。また、Windows XPからRTまでのすべてのサポート対象バージョンでも動作します。「多数の脆弱性が修正されたことを考えると、攻撃者がリバースエンジニアリングを行い、悪意のあるWebページを通じて拡散できるエクスプロイトを作成するための主な標的となるでしょう。」
ほとんどのセキュリティ専門家は、MS13-047 を最優先にすべきであり、できるだけ早く更新を適用すべきだということに同意しています。
しかし、MS13-050の方が緊急性が高いと考える人もいます。https://www.pcworld.comfile://localhost/applewebdata/::8BDB9397-B120-4CC1-9DFC-39C560E44995:rapid7.comのセキュリティエンジニアリング担当シニアマネージャー、ロス・バレット氏は、最優先事項はOffice 2003およびOffice 2011 for Macの脆弱性に対処するセキュリティ情報であるMS13-051であると考えています。
バレット氏によると、「この問題は限定的で標的を絞った悪用が実際に確認されており、マイクロソフトがこれを「緊急」問題として分類していない唯一の理由は、影響を受けるプラットフォームの数が限られているためです」とのことです。また、バレット氏は、この問題を悪用するには、ユーザーが悪意のある文書を操作する必要があることを強調しています。
Tripwireのセキュリティ調査担当テクニカルマネージャー、タイラー・レグリー氏は、「セキュリティに関して、Microsoftソフトウェアを使用するMacユーザーが不利な立場に置かれているのは残念です。Office 2003にのみ影響する脆弱性が、なぜOffice for Mac 2011にも存在するのか、不思議に思います」と嘆き、「Macユーザーとして、この勧告には非常に不安を感じています」と付け加えました。
Adobeも本日、Flashの新バージョンをリリースしました。このアップデートは、Googleセキュリティチームによって発見された脆弱性を修正するものです。ChromeおよびInternet Explorer 10のユーザーは、ブラウザのアップデート機能により、このアップデートを自動的に受信します。
いつものように、Microsoft の 5 つのセキュリティ情報と Adobe の更新プログラムをすべて確認し、システムで使用している製品とサービスに対する優先順位、および悪用される可能性のあるリスクを判断する必要があります。
