来週火曜日は、Microsoftの4月のパッチ火曜日とAdobeの四半期パッチリリースが同時に行われます。Microsoft Windows、Microsoft Office、Adobe Acrobat、Acrobat Readerアプリケーションには、合わせて合計27件の脆弱性が修正されます。IT管理者や情報セキュリティ専門家にとって、大量のアップデートを分析し、優先順位を付ける忙しい一日となるでしょう。
月のこの時期にパッチ火曜日があるのは少し奇妙に思えますが、月初めが木曜日に当たると、第2火曜日まで時間がかかるのです。また、Microsoftが3月30日にInternet Explorer向けにアウトオブバンドアップデートをリリースしたため、タイミング的にも少しずれているように感じます。
それでも、パッチチューズデーは近づいています。Qualysの脆弱性調査ラボのマネージャー、アモル・サルワテ氏は、Microsoftがどのようなセキュリティアップデートを用意しているかについて、専門家の見解をメールで提供してくれました。「Windowsオペレーティングシステムのさまざまなコンポーネントに加え、Microsoft OfficeとMicrosoft Exchangeにも影響を与えるセキュリティ情報が11件あります。これはかなり大規模なアップデートであり、パッチチューズデーはシステム管理者にとって多忙な日々となるでしょう。」
サルワテ氏は、「11件のセキュリティ情報のうち、5件は「緊急」と評価されており、Windows 2000、XP、Vista、2003、2008、Windows 7のコンポーネントに影響します。パッチを適用せずに放置すると、攻撃者が被害者のマシン上でコードやプログラムを実行できるため、これらはすべてリモートコード実行に分類されます」と説明した。
マイクロソフトは、5件の「緊急」セキュリティ情報に加え、Microsoft Office、Microsoft Exchange、およびWindowsコンポーネントに影響する問題に対応する「重要」セキュリティ情報5件と「中」セキュリティ情報1件を公開する予定です。ほぼすべてのセキュリティ情報のパッチ適用には、システムの再起動が必要になります。
Windows 7も影響を受けていますが、Windows 7には「緊急」と評価された脆弱性が少ないことは特筆に値します。Windows 7は、10年前のWindows XPを捨て、現在の主力デスクトップOSに乗り換えるべき時が来たことを、月を追うごとに証明しています。
Microsoftからの11件ものセキュリティ情報では1日(あるいは1週間…いや1ヶ月)では足りないかのように、IT管理者はAdobeからの四半期ごとのセキュリティアップデートにも対処しなければなりません。Adobeのアップデートも「緊急」と評価されており、Adobe Acrobat 9.3と、広く普及しているAcrobat Readerの脆弱性を修正します。
Adobeは、マルウェア開発者の標的となっていることを認識し、ユーザーのアップデートプロセスを簡素化するための積極的な対策を講じています。Adobeは、過去数ヶ月にわたりベータテストを行ってきた自動アップデータユーティリティを配布します。このアップデータユーティリティは、ユーザーの介入を必要とせず、バックグラウンドでAdobe製品に自動的にパッチを適用します。これにより、より多くのシステムにできるだけ早くパッチが適用されることが期待されます。
AdobeはWebとビジネスコンピューティングの両方の文化に深く浸透することに成功しており、それが同社が標的となっている主な理由です。Adobeを完全に避けることは現実的ではありませんし、私もそれを現実的な選択肢として提案しているわけではありませんが、PDFファイルを扱うための代替ユーティリティは数多く存在します。例えば、Nuance PDF Readerなどです。
Microsoft Windowsの自動更新と同様に、Adobeの自動アップデータアプリケーションは、一般ユーザーだけでなく、より正式なパッチ管理プロセスのためのリソースを持たない中小企業にも歓迎されるでしょう。大企業は、パッチが重要なビジネスアプリケーションに悪影響を与えないことを確実にするために、サイレントアップデートに頼るのではなく、パッチのテストと承認を望む可能性が高いでしょう。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。彼のTwitterアカウントは@Tony_BradleyPCWです。Facebookページをフォローするか、[email protected]までメールでご連絡ください 。
