IEパッチ、3度目の正直となるか?--2件目の脆弱性に対処

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年09月14日 12時40分
  • このエントリーをはてなブックマークに追加

 Microsoftが、問題のあった「Internet Explorer」のパッチを再々リリースした。先に提供したアップデートに存在していた、Windows PCの乗っ取りに悪用されうる脆弱性を修復するのが目的だという。

 米国時間8月8日にリリースされた最初のパッチ「MS06-042」には、1件ではなく2件のセキュリティホールがあった。Microsoftは、1つ目の脆弱性を米国時間8月24日に配布したアップデート版パッチによって修復し、9月12日の第3弾で2つ目の脆弱性に対応したと、同社のIEチーム担当グループプログラムマネージャーTony Chor氏は、公式ブログに記している。

 8月にリリースされた10件以上のセキュリティアップデートのうち「MS06-042」は、広く利用されているウェブブラウザIEの累積的なセキュリティアップデートで、8件の脆弱性を修復するものだった。Microsoftはこのアップデートを、同社の評価基準では最も高い「緊急」と認定していた。

 同パッチは現在、先のアップデートに存在していた2件を含む計10件の脆弱性に対応している。1つ目のバグはService Pack 1(SP1)を適用したIE 6.0に影響をおよぼし、攻撃者がWindows PCを遠隔地からコントロールするのに悪用されるおそれがあった。2つ目の問題もこれと似ているが、Windows 2000のIE 5.01、SP1を適用したIE 6.0(の別の部分)、第1版Windows Server 2003のIEが影響を受けるとされた。

 「こうしてアップデートを繰り返してしまったのは確かにほめられたことではない(中略)が、われわれは今回の経験を生かしてパッチリリースのプロセスを改善し、すべてのリリースの品質がわれわれの期待に沿う、顧客も満足するものであることを確信できるように、透明性を向上させたいと考えている」と、Chor氏は記している。

 パッチ管理企業Shavlik Technologiesの最高経営責任者(CEO)であるMark Shavlik氏は、Microsoftが配布したセキュリティパッチに新たな脆弱性が見つかり、顧客を「(パッチを)適用しても、しなくても危険な状態」にさらしたのは、これが初めてだと話している。

 Shavlik氏は電子メールによる声明の中で、「MS06-042の第1版および第2版のどちらか一方をインストールしたユーザーが、IEを利用して悪質なウェブサイトを閲覧した場合、PCが乗っ取られる危険性がある」と述べた。

 IEパッチの第3弾は、Microsoftが定例パッチリリースの一環として提供した、3件の新たなセキュリティアップデートとともにリリースされた。また、SP1を適用したWindows Server 2003の64ビットバージョンおよび32ビットバージョンと、Windows XP Professional x64 Editionを対象としたアップデートに関し、一部で発生していた問題を解決するために、「MS06-040」パッチの改訂版も提供された。Microsoftは8月、この問題に対処する一時的な「ホットフィックス」を公開している。

 これらのアップデートは、「Windows Update」「Automatic Update」「Download Center」などの通常のリリース経路や、「Windows Server Update Services」といったパッチ適用ツールを介して入手できる。Microsoftは、影響がおよぶ全ユーザーに対して、新しいソフトウェアを直ちにインストールするよう勧告している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加