もう8月も半ばですか。2013年のPatch Tuesdayももう8回目ですか?そろそろハロウィンのコスチュームの準備やホリデーショッピングの計画を始めなきゃいけない時期ですね。うわあ!
8月の月例パッチでは、Microsoftは8件の新しいセキュリティ情報を公開しました。決して少ない月ではありませんが、この件数が倍近くになる月も多かったことを考えると、悪くない数字と言えるでしょう。さらに重要なのは、そのうち「緊急」と評価されているのはわずか3件で、実際に悪用されているものは1件もないことです。セキュリティ専門家の間では、今月の最重要セキュリティ情報はInternet Explorer(MS13-059)とMicrosoft Exchange Server(MS13-061)であることで一致しているようです。
「MS13-059は、複数のメモリ破損、情報漏洩、権限昇格の脆弱性など、非公開で公開された11件の脆弱性に対処します」と、BeyondTrustのCTOであるMarc Maiffret氏はInternet Explorerのパッチについて述べています。「今月も、Internet Explorerで多くのメモリ破損が修正されたここ数ヶ月と変わりません。」
Tripwire のセキュリティ研究開発担当テクニカル マネージャー Tyler Reguly 氏も MS13-059 に注目し、「いつものように、Internet Explorer は誰もが最初にインストールすべきパッチです」と述べています。
レギュリー氏は、先日CanSecWestカンファレンスで公開されたASLRバイパスの脆弱性をいくつか修正したマイクロソフトを称賛しています。「マイクロソフトはバグ報奨金プログラムを通じて、緩和策のバイパスがもたらす危険性を認識しています。今後は、これらの問題解決に向けてマイクロソフトが迅速に行動してくれることを期待しています」と彼は述べています。
マイフレット氏はまた、Internet Explorerの権限昇格の脆弱性はそれ自体ではそれほど深刻ではないように見えるかもしれないが、それでも懸念事項であると指摘しています。「この脆弱性だけではコード実行は許可されませんが、別の脆弱性と組み合わさることで、ユーザー権限でコード実行が可能になります」とマイフレット氏は述べ、「このパッチをできるだけ早く適用してください」と警告しています。
Tripwireのセキュリティ研究開発部門責任者であるラマー・ベイリー氏は、Exchange Serverの問題は実際にはOracleの脆弱性に起因するものだと説明しています。「Exchangeの重要なアップデートについては皆が懸念していましたが、懸念していたほど深刻ではありませんでした」と彼は言います。「Exchangeのパッチには、Oracleが4月と7月にリリースしたOutlook Web Accessに影響を与えるパッチの一部が組み込まれています。これらの脆弱性を悪用されるケースはまだかなり少ないものの、それでも重要なアップデートであることに変わりはありません。」
実際には、この脆弱性はリモートから悪用可能ですが、いくつか注意点があります。この脆弱性は、ユーザーがOutlook Web Access (OWA) を使用して悪意のあるメッセージを開いた場合にのみ発動するため、ユーザーによる操作が必要です。また、既知の脆弱性という観点からは技術的には「公開」されていますが、実際にはOracleコンポーネントに存在し、ベンダーによって既にパッチが適用されており、実際に悪用されたという報告はありません。
一方、QualysのCTOであるWolfgang Kandek氏は、一部の組織はリスク軽減のためにさらに一歩踏み出すべきだと考えています。「Exchangeを運用していて、ユーザーがOWAを使用している場合は、この問題にできるだけ早く対処する必要があります」と、彼は自身のブログ「Laws of Vulnerabilities」に書いています。「Outside Inを含むドキュメント処理を完全に無効にする回避策の実装を検討すべきです。CERT/CCのWill Domann氏が最近投稿したブログ記事が示すように、ライブラリには未発見の脆弱性がまだかなり残っている可能性があります。」
というわけで、8件の新しいセキュリティ情報が公開されました。そのうち3件は「緊急」、5件は「重要」です。特に緊急性は高くありませんが、いつものように、PC、ネットワーク、またはソフトウェアに影響を与えるすべてのパッチをできるだけ早く適用してください。現時点では脆弱性攻撃は確認されていないかもしれませんが、パッチがリリースされれば、攻撃者はこれらの脆弱性を突く方法を見つけ出すための時間稼ぎを始めることになります。
