マイクロソフト、4月の月例パッチで脆弱性64件を修正へ

　Microsoftは月例のセキュリティ情報のリリースサイクルの一環として、4月の事前通知を発表した。「Microsoft Windows」と「Microsoft Office」「Internet Explorer（IE）」を含むさまざまな製品の脆弱性64件を修正するセキュリティ情報17件を来週公開すると述べた。

　同社がTechNetブログへの投稿で述べたところによると、今回のセキュリティ情報の深刻度は「緊急」が9件、「重要」が8件だという。

　同セキュリティ情報によれば、全てのバージョンのWindows、IE6とIE7、IE8、さまざまなバージョンのWindows用とMac用のOfficeに加えて、「Visual Studio .NET」と「Visual C++」も脆弱性の影響を受けるという。

　同社はブログ投稿の中で、「われわれは4月の月例パッチで、2月15日に開示されたSMBブラウザの脆弱性（緊急）など、弊社が過去に言及したいくつかの問題を修正する。弊社は状況評価を行った結果、理論的にはこの脆弱性によってリモートからコードを実行されるおそれがあるものの、その可能性は極めて低いと報告した。われわれは今日まで、攻撃の証拠を確認していない」と述べている。

　「われわれは、深刻度が重要と評価されたWindowsのMHTML脆弱性のフィックスも予定している。これは1月下旬のセキュリティアドバイザリ（2501696）（ダウンロードすることで、ユーザーを完全に保護できる「Fix-It」を含む）でユーザーに通知した問題だ。3月には同アドバイザリを更新して、われわれが限定的なターゲット型攻撃を認識していることをユーザーに伝えた」（同社ブログ投稿）

　Microsoftにとって、月例パッチは一度に多数のセキュリティ情報および脆弱性に対処するためのものだ。同社は2010年12月に17件のセキュリティ情報を公開し、10月には記録的な49件ものセキュリティホールを修復している。

　nCircleのセキュリティ担当ディレクターであるAndrew Storms氏は、「Microsoftは4月の月例パッチで、17件のセキュリティ情報と64件もの共通脆弱性識別子（Common Vulnerabilities and Exposures：CVE）をリリースする予定だ。64件というのはCVEの新記録である。それは莫大な数のバグに思えるが、実際にはわれわれの予測とほぼ一致するものだ。2010年の中頃以降、Microsoftのセキュリティ情報リリース件数は隔月で2桁に達するのが通例になっている」と話した。