IEパッチ、3度目の正直となるか？--2件目の脆弱性に対処

　Microsoftが、問題のあった「Internet Explorer」のパッチを再々リリースした。先に提供したアップデートに存在していた、Windows PCの乗っ取りに悪用されうる脆弱性を修復するのが目的だという。

　米国時間8月8日にリリースされた最初のパッチ「MS06-042」には、1件ではなく2件のセキュリティホールがあった。Microsoftは、1つ目の脆弱性を米国時間8月24日に配布したアップデート版パッチによって修復し、9月12日の第3弾で2つ目の脆弱性に対応したと、同社のIEチーム担当グループプログラムマネージャーTony Chor氏は、公式ブログに記している。

　8月にリリースされた10件以上のセキュリティアップデートのうち「MS06-042」は、広く利用されているウェブブラウザIEの累積的なセキュリティアップデートで、8件の脆弱性を修復するものだった。Microsoftはこのアップデートを、同社の評価基準では最も高い「緊急」と認定していた。

　同パッチは現在、先のアップデートに存在していた2件を含む計10件の脆弱性に対応している。1つ目のバグはService Pack 1（SP1）を適用したIE 6.0に影響をおよぼし、攻撃者がWindows PCを遠隔地からコントロールするのに悪用されるおそれがあった。2つ目の問題もこれと似ているが、Windows 2000のIE 5.01、SP1を適用したIE 6.0（の別の部分）、第1版Windows Server 2003のIEが影響を受けるとされた。

　「こうしてアップデートを繰り返してしまったのは確かにほめられたことではない（中略）が、われわれは今回の経験を生かしてパッチリリースのプロセスを改善し、すべてのリリースの品質がわれわれの期待に沿う、顧客も満足するものであることを確信できるように、透明性を向上させたいと考えている」と、Chor氏は記している。

　パッチ管理企業Shavlik Technologiesの最高経営責任者（CEO）であるMark Shavlik氏は、Microsoftが配布したセキュリティパッチに新たな脆弱性が見つかり、顧客を「（パッチを）適用しても、しなくても危険な状態」にさらしたのは、これが初めてだと話している。

　Shavlik氏は電子メールによる声明の中で、「MS06-042の第1版および第2版のどちらか一方をインストールしたユーザーが、IEを利用して悪質なウェブサイトを閲覧した場合、PCが乗っ取られる危険性がある」と述べた。

　IEパッチの第3弾は、Microsoftが定例パッチリリースの一環として提供した、3件の新たなセキュリティアップデートとともにリリースされた。また、SP1を適用したWindows Server 2003の64ビットバージョンおよび32ビットバージョンと、Windows XP Professional x64 Editionを対象としたアップデートに関し、一部で発生していた問題を解決するために、「MS06-040」パッチの改訂版も提供された。Microsoftは8月、この問題に対処する一時的な「ホットフィックス」を公開している。

　これらのアップデートは、「Windows Update」「Automatic Update」「Download Center」などの通常のリリース経路や、「Windows Server Update Services」といったパッチ適用ツールを介して入手できる。Microsoftは、影響がおよぶ全ユーザーに対して、新しいソフトウェアを直ちにインストールするよう勧告している。