Microsoftが、問題のあった「Internet Explorer」のパッチを再々リリースした。先に提供したアップデートに存在していた、Windows PCの乗っ取りに悪用されうる脆弱性を修復するのが目的だという。
米国時間8月8日にリリースされた最初のパッチ「MS06-042」には、1件ではなく2件のセキュリティホールがあった。Microsoftは、1つ目の脆弱性を米国時間8月24日に配布したアップデート版パッチによって修復し、9月12日の第3弾で2つ目の脆弱性に対応したと、同社のIEチーム担当グループプログラムマネージャーTony Chor氏は、公式ブログに記している。
8月にリリースされた10件以上のセキュリティアップデートのうち「MS06-042」は、広く利用されているウェブブラウザIEの累積的なセキュリティアップデートで、8件の脆弱性を修復するものだった。Microsoftはこのアップデートを、同社の評価基準では最も高い「緊急」と認定していた。
同パッチは現在、先のアップデートに存在していた2件を含む計10件の脆弱性に対応している。1つ目のバグはService Pack 1(SP1)を適用したIE 6.0に影響をおよぼし、攻撃者がWindows PCを遠隔地からコントロールするのに悪用されるおそれがあった。2つ目の問題もこれと似ているが、Windows 2000のIE 5.01、SP1を適用したIE 6.0(の別の部分)、第1版Windows Server 2003のIEが影響を受けるとされた。
「こうしてアップデートを繰り返してしまったのは確かにほめられたことではない(中略)が、われわれは今回の経験を生かしてパッチリリースのプロセスを改善し、すべてのリリースの品質がわれわれの期待に沿う、顧客も満足するものであることを確信できるように、透明性を向上させたいと考えている」と、Chor氏は記している。
パッチ管理企業Shavlik Technologiesの最高経営責任者(CEO)であるMark Shavlik氏は、Microsoftが配布したセキュリティパッチに新たな脆弱性が見つかり、顧客を「(パッチを)適用しても、しなくても危険な状態」にさらしたのは、これが初めてだと話している。
Shavlik氏は電子メールによる声明の中で、「MS06-042の第1版および第2版のどちらか一方をインストールしたユーザーが、IEを利用して悪質なウェブサイトを閲覧した場合、PCが乗っ取られる危険性がある」と述べた。
IEパッチの第3弾は、Microsoftが定例パッチリリースの一環として提供した、3件の新たなセキュリティアップデートとともにリリースされた。また、SP1を適用したWindows Server 2003の64ビットバージョンおよび32ビットバージョンと、Windows XP Professional x64 Editionを対象としたアップデートに関し、一部で発生していた問題を解決するために、「MS06-040」パッチの改訂版も提供された。Microsoftは8月、この問題に対処する一時的な「ホットフィックス」を公開している。
これらのアップデートは、「Windows Update」「Automatic Update」「Download Center」などの通常のリリース経路や、「Windows Server Update Services」といったパッチ適用ツールを介して入手できる。Microsoftは、影響がおよぶ全ユーザーに対して、新しいソフトウェアを直ちにインストールするよう勧告している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス