MS月例パッチ、Excelの脆弱性には未対処

[Ryan Naraine，eWEEK]

　米Microsoftが17件の脆弱性を修正するセキュリティアップデート11件をリリースした。しかしWindows管理者は、Microsoftが1件の重大な――しかも、既に悪用コードが登場している――Excelの脆弱性のフィックスをリリースしなかったことから注意を呼び掛けている。

　Microsoftは当初、12件のフィックスを提供する計画だったが、パッチの品質に関する懸念のため、土壇場になって「緊急」レベルのアップデートの1件を取り下げた。

　同社の担当者は、このフィックスがどの製品に影響するかを明らかにはしなかったが、セキュリティ業界では、Excel 2004およびそれ以前のバージョンのメモリ破損の問題に関連するものだということがおおむね前提となっている。

　同社は1月15日、パッチリリース前のアドバイザリーでこのバグを認め、攻撃者が不正な.xlsファイルを利用して、ターゲット型のコード実行攻撃を仕掛けていると警告した。

　Microsoftセキュリティ対策センター（MSRC）の広報担当者は、このExcelのゼロデイ脆弱性が未パッチであることを認めた。

　Qualysのテクニカルアカウント管理ディレクター、ジョナサン・ビトル氏は、このExcelのパッチがリリースされなかったことは「大いに心配」だとしている。

　「Excelは世界中の企業ユーザーに広く使われている製品なので、既知の脆弱性が放置される期間が延びたことは大きな懸念事項だ。Microsoftの顧客が大騒ぎすることは想像に難くない」（同氏）

　「Microsoftがこのフィックスをリリースしなかったことに驚いている。既に悪用されていることが分かっているのに」

　ただしビトル氏は、Windows管理者はほとんどの場合、アプリケーションの不具合を引き起こすパッチや脆弱性を修正しないパッチよりも、完全にテスト済みの高品質なアップデートを好むと指摘した。

　「企業が誤った安心感を持つ可能性がある場合、その方が脆弱性を未パッチのままにしておくよりも危険だ。パッチが機能しないことに最初に気づく人は、おそらく不正な意図を持っている人物だろう。パッチの品質に関しては慎重になり過ぎる方がいい」（同氏）

　2月の月例パッチは、合計で6件の「緊急」と5件の「重要」のセキュリティアップデートを含み、Internet Explorer（IE）、Microsoft Word、Microsoft Office、OLEオートメーション、Microsoft Publisher、WebDAV（Web-based Distributed Authoring and Versioning）Mini-Redirectorの深刻なコード実行の脆弱性を修正する。IEの累積アップデートは4件の脆弱性を修正し、Windows Vista上のIE 7も含め、サポートされているすべてのIEのバージョンに関して緊急レベルとされている。

　今回の「緊急」アップデートのほとんどは、幅広く利用されている製品の脆弱性に対応している。例えばOfficeに含まれているMicrosoft WordとMicrosoft Publisher向けには、複数の脆弱性を修正するセキュリティアップデートがリリースされた。

　「これら緊急レベルの脆弱性はいずれも、悪用するにはユーザーに何らかの行動を取らせなければならないが、その行動は、攻撃者が乗っ取った合法Webサイトにアクセスするといった単純なものの場合もある」とSymantec Security Responseの上級リサーチマネジャー、ベン・グリーンバーム氏は言う。

　同氏は、これらのクライアント側のバグは、信頼できるWebサイト、電子メールの添付ファイル、インスタントメッセージの会話に張り付けられたリンクを介してマルウェアを配布するのに利用できると指摘する。

　「これら脆弱性は、消費者や企業がセキュリティスイート一式を導入して身を守ることの重要性を強調している。知らない人からの、あるいは受け取る予定のない電子メールの添付ファイルや、知らない出所から受け取ったWebリンクを開かないなど、従来の最善の対策だけに頼ることはできないからだ」（同氏）

原文へのリンク