Microsoftは米国時間8日、2月の月例パッチリリースを行った。今回は通常より多めのパッチが公開されたが、その半分以上は同社の深刻度評価で最高レベルにあたる「緊急」の脆弱性を修正するものとなっている。
同社がパッチを公開した十数件の脆弱性のうち、緊急レベルに分類されるものは8件で、このなかには、MicrosoftのOffice XP、Internet Explorerのバージョン6、Media PlayerおよびMSN Messenger用のWindowsの画像ファイルコンポーネントなどに見つかったものなどが含まれる。
「昨年24件のパッチが一挙にリリースされたことがあったが、今回はあの時に次いでパッチの数が多い。しかし、緊急に分類されるものの割合は通常とあまりかわらない」と、セキュリティ対策企業のMcAfeeで、ウイルス緊急対策チームのバイスプレジデントを務めるVincent Gullottoは述べている。
今回リリースされたパッチのなかには、IEに見つかった複数の脆弱性を解決する重要な累積修正パッチも含まれている。これらの脆弱性はすでに公表されているが、しかしMicrosoftによると、これらの脆弱性が悪用された例はまだあまりないという。
MicrosoftのセキュリティプログラムマネジャーStephen Toulouseは、「今回パッチを公開したIEの一部の脆弱性については、エクスプロイトコードがすで出回っているものの、それを悪用した攻撃が広がっているとは聞いていない」と述べた。
このIEのアップデートは、攻撃者によるシステムの乗っ取りやプログラムのインストール、データの変更/削除/表示、あらゆる権限をもつユーザーアカウントの新規作成などを可能にする脆弱性を修正するためのもの。
今回の月例パッチリリースは、Microsoftがセキュリティソフトウェア開発元のSybari Software買収計画を発表し、自社アプリケーションの信頼性向上を目指すTrustworthy Computing構想が4年目に突入するなかで行われた。
今回の脆弱性公表を受け、多くのセキュリティ問題を抱える企業はまた新たな問題を抱えることになる。あるアナリストは、このようなセキュリティホールを回避するためシステムに自動的にパッチを適用するよう消費者に呼びかけているが、しかし企業の場合はそうもいかないという。
GartnerアナリストのMark Nicolettは、「自分がごくふつうの個人ユーザーだったとしたら、Microsoftのアップデートが自動的にインストールされるよう自動アップデート機能を有効にしておく。だが、企業の場合はそう簡単にはいかない。ある程度品質管理テストを行い、業務で利用するアプリケーションに影響がないことを確認しなくてはならない」と語っている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス