毎月第2火曜日はMicrosoftのPatch Tuesday(パッチチューズデー)で、その前の木曜日にMicrosoftは最新のセキュリティ情報を公開しています。そして本日、Microsoftが2013年6月のセキュリティ情報を公開しました。この情報によると、IT管理者にとって6月は比較的ゆったりとした月になりそうですが、一つだけ大きな例外があります。
マイクロソフトは来週、5件のセキュリティ情報を公開する予定です。これは今年に入ってから最も少ない月間セキュリティ情報数であり、IT管理者は通常の慌ただしいパッチ適用作業から少し解放されるでしょう。さらに、5件のセキュリティ情報のうち、「緊急」と評価されているのは1件のみで、残りの4件は「重要」と評価されています。
Lumensionのセキュリティおよびフォレンジックアナリスト、ポール・ヘンリー氏は、2013年は中間時点で昨年より8件多いセキュリティ情報が出ていると指摘しています。しかしながら、これまでに「緊急」セキュリティ情報が出ている件数は16件で、昨年と全く同じであることも指摘しています。
6 月の最大の優先事項は、セキュリティ情報 1 です。これは、Internet Explorer の累積的な更新であり、Microsoft が Patch Tuesday で修正した 23 件の問題のうち 19 件に対処しています。
「Bulletin Oneは本当に恐ろしい脆弱性です。Windowsの全バージョン(様々なプラットフォームでIE 6から10まで)上のIEでリモートコード実行が可能になるのです」と、CORE Securityのセキュリティインテリジェンス開発マネージャー、ケン・ピカリング氏は述べています。「この脆弱性により、悪意のあるウェブページを介して他人のマシンにリモートアクセスすることが容易になります。」
ヘンリー氏は、全体的な深刻度についてはやや異論を唱える。「一見すると非常に懸念されるかもしれませんが、このセキュリティ情報によって過度に不安を抱かせるべきではありません。この脆弱性を悪用するには、攻撃者が悪意のあるサイトを作成し、フィッシング攻撃を使って何も知らないユーザーをそのサイトに誘導し、システムを侵害する必要があります。」
しかし、それを念頭に置いても、依然として懸念すべき点があります。巧妙に仕組まれたフィッシング攻撃は、何も知らないユーザーを誘い込み、自らのシステムに侵入させることに成功する可能性があります。ユーザーにこの脅威について周知徹底し、疑わしいリンクや未知のリンクをクリックする前に、二度(あるいは三度)考え直すよう促しましょう。
Bulletin 5も興味深いものです。これはMicrosoft Officeの脆弱性ですが、Windowsシステム上のOffice 2003にのみ影響するため、ほとんどのIT管理者はおそらくあまり気に留めないでしょう。Bulletin 5で懸念されるのは、リモートコード実行の脆弱性であり、Mac版Office 2011にも影響する点です。
来週火曜日にセキュリティ情報が正式にリリースされるので、脆弱性とパッチ適用の優先順位に関するより詳細な分析をご覧ください。
