Microsoftは同社ブラウザに影響する「緊急」のセキュリティ脆弱性を修正したものの、少なくとも2つのゼロデイ脆弱性を残してしまった。これらの脆弱性については、既にエクスプロイトコードが公開されている。
米国時間2月21日の夜、Microsoftは「Windows 8.1」以降の「Internet Explorer」、および「Windows 10」の「Edge」を利用するユーザーなどに向けて、「Adobe Flash Player」の脆弱性を修正する複数のパッチをリリースした。
このパッチはWindows Updateで提供されている。
20日、少数の大企業は今回のパッチについて通知されていたが、3月14日に予定されている翌月のパッチのサイクルまではそれ以上のアップデートが行われない旨が伝えられていた。
しかし、Microsoftは2つの脆弱性を修正しておらず、これらの脆弱性のエクスプロイトコードは既に公開されている。
1つ目の脆弱性はWindowsの通信プロトコル「Server Message Block(SMB)」のバグに関連するものだ。これに関する概念実証コードは2月の月例パッチ予定日を前に公開されている。2つ目の脆弱性は、Googleによって14日に公表された、WindowsのGDIライブラリのバグに関連するもの。脆弱性レポートによると、Microsoftはもともとこの脆弱性に関する報告を半年以上前に受けていたようだ。
今回のパッチの1週間前、同社は通常の月例パッチを延期していた。月例パッチの延期はMicrosoftにとって初めてのことだ。
ただし、延期の原因は明らかにされていない。
米ZDNet向けに記事を執筆しているMary Jo Foley記者によると、Microsoftの動向に精通する情報筋は、Microsoftのビルドシステムが延期の原因ではないかと述べていたようだ。
Microsoftの広報はこの問題に関するコメントを控えた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス