マイクロソフト月例パッチ--オーマンディ氏の脆弱性は33日で修正

　米国時間2010年6月、Googleの研究者Tavis Ormandy氏は、Windows XPおよびWindows Server 2003のユーザーを悪質なハッカーの攻撃にさらす、ヘルプとサポートセンターの重大な脆弱性に関する詳細を公表したが、Microsoftはこの判断について公の場で不快感を示した。

　Ormandy氏は、Microsoftとの間で60日以内にパッチを提供するよう交渉するのに5日間を費やしたが、同社が直ちに修正を行うという確認が取れなかったため、情報を開示することを決めたと主張している。

　その後、Microsoftはたった33日後に、このセキュリティホールを対象とするMS10-42を「緊急」のセキュリティ情報として公開した。このセキュリティホールは、マルウェアによる攻撃ですでに悪用されている。

　Ormandy氏の情報開示を行うという判断はかなりの混乱を引き起こし、2者間でよりよいコミュニケーションが行われていれば避けられたであろう、互いの主張の食い違いも残ったままだ。

　念のために記しておけば、MicrosoftはOrmandy氏に対し60日以内に修正できないとは言っていないと述べている。Microsoftのセキュリティ対応チームの広報担当であるJerry Bryant氏がわたしに話したところでは、同氏のチームは6月7日月曜日にOrmandy氏に対し、同社はこの問題について調査中のため、週末まではリリース日程について議論することはできないと伝えたという。

　Bryant氏は、「その情報が6月9日に公に発表された時には驚いた」と話している。

　同氏は、詳細が公に発表された時点では、Microsoftは「調査の初期段階」にあったと述べている。

　Microsoftがわずか33日でパッチを公開したという事実は（これは同社がWindowsの脆弱性に対するパッチを公表するのにかかる平均時間よりもかなり短い）、Ormandy氏の行動はエコシステムの維持に役立ったと主張する、完全な開示に対する賛同者を後押しするものだ。

　ただし、MicrosoftのBryant氏は、同社はもともと8月の公表を予定していたが、Windows XPの顧客に対する攻撃が行われていることを考慮して対応を前倒ししたと述べている。「この脆弱性がWindowsの2つのバージョンにしか影響がなかったため、テストを急ぐことができ、7月のリリースが可能になった」と同氏は付け加えている。

　MicrosoftとOrmandy氏の間で誤解があったことは明らかで、この状況は回避可能だった。Microsoftが調査を行い、この問題に対応する必要があることは明らかだろう。

　わたしはMicrosoftに重大な脆弱性に関する情報を提供するプロセスに関わったことがあり、実体験としてそのプロセスがあまりスムーズとは言えないことを知っている。同社は研究者に対して、悪用可能性を証明するよう多くの重荷を課し、必要以上の情報を要求する。わたしの経験では、彼らは約束を守らず、研究者を苛立たせたことが何度もある（わたしはその時、バグの修正を手助けする単なる仲介者だった）。

　これだけの年月が経った今では、Bryant氏とそのチームは、関係する全員に対して明確で適切なコミュニケーションが行われる、スムーズなプロセスを持っているべきだ。Microsoftは脆弱性の情報に対価を払っておらず、セキュリティ情報に見落とされがちな提供者の情報を載せるだけだ。彼らはせめて、研究者をその価値に相応しく扱うべきだ。

　以下は、7月の月例パッチの詳細だ（Microsoftのセキュリティ情報からの抜粋）。

MS10-042（緊急）：ヘルプとサポートセンターの脆弱性

　このセキュリティ更新プログラムは、サポートされているエディションのWindows XPおよびWindows Server 2003に含まれるWindowsのヘルプとサポートセンター機能に存在する一般で報告された脆弱性を解決する。この脆弱性により、ユーザーがWebブラウザで特別に細工されたWebページを表示した場合、または電子メール内の特別な細工がされたリンクをクリックした場合、リモートでコードが実行される可能性があります。この脆弱性は、電子メールを介して、自動的に悪用されることはありません。ユーザーが電子メールメッセージ内のリンクをクリックすると、攻撃が行われる可能性があります。

MS10-043（緊急）：Canonical Display Driverの脆弱性

　このセキュリティ更新プログラムはCanonical Display Driver（cdd.dll）に存在する一般に公開された脆弱性を解決します。この脆弱性が悪用された場合、コードが実行される可能性がありますが、メモリのランダム化のため、コードの実行が成功する可能性は極めて低いと考えられます。ほとんどのシナリオで、この脆弱性の悪用に成功した攻撃者は、影響を受けたシステムの応答を停止させ、自動的に再起動させる可能性があります。

MS10-044（緊急）：Microsoft Office AccessのAcitiveXコントロールの脆弱性

　このセキュリティ更新プログラムは、非公開で報告された2件のMicrosoft Office AccessのActiveXコントロールに存在する脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされたOfficeファイルを開くか、またはAccessのActiveXコントロールをインスタンス化するWebページを表示した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

MS10-045（重要）：Microsoft Office Outlookの脆弱性

　この更新プログラムは非公開で報告された脆弱性を解決します。この脆弱性により、ユーザーが影響を受けるバージョンの Microsoft Office Outlook を使用して、特別に細工された電子メールのメッセージの添付ファイルを表示した場合、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。