「パッチ開発に3カ月もかかった理由」、MSがブログで釈明

アニメカーソルの脆弱性報告からパッチの公開までに、なぜ3カ月もかかったのか。その理由をMicrosoftがブログで説明した。

» 2007年04月05日 08時51分 公開
[ITmedia]

 Microsoftはアニメーションカーソルの脆弱性に対処する緊急パッチを公開したが、「問題の報告を受けてからパッチをリリースするまでになぜ3カ月もかかったのか」との疑問が浮上。セキュリティ対策センターのブログで、パッチの開発過程を紹介しながらこの疑問に答えた。

 アニメーションカーソルの脆弱性についてDeterminaからMicrosoftに通報があったのは12月20日。その時点で問題が深刻なものだと認識し、セキュリティアップデートが必要だと判断した。

 Microsoftでは、パッチを高品質で包括的なものにする必要性と、できるだけ早く顧客を保護する必要性を天秤にかけながら優先度を決めていると説明。調査プロセスの第1段階として、報告された問題および周辺の問題について調査を開始した。

 今回のケースでは、1月から2月にかけての調査で、アニメーションカーソルの脆弱性修正に必要なファイルと、関連するシステムドライバの脆弱性修正に必要なファイルとの間に依存関係があることを発見。包括的アップデートのためには両方のファイルを同時にシステムに適用する必要があると判断した。

 その結果、複数のコンポーネントの調査を経て、MS07-017のパッチでは7件の脆弱性とともに、調査の過程で見つけたほかの問題にも対処した。これにより、顧客は同一セットの脆弱性に対して複数のパッチを適用せずに済んだとしている。

 次の段階として、2月から3月にかけてセキュリティアップデートの作成とテストに着手。このプロセスには平均して2カ月かかり、各国で数百人の担当者がかかわっているという。

 この包括テストの結果、リリースの時点ではマイナーな問題を1つ残すのみとなり、その問題もパッチと同時にホットフィックスを準備できたと述べている。

 今回のパッチは当初4月10日の月例アップデートでリリースする予定だったが、テストサイクルが終わりに近づいていた時点で最初の攻撃が発覚。この事態に対応して新しいアップデートを作成するよりは、包括アップデートのテストを急いだほうがいいと判断したという。

 言うまでもなく、Microsoftではセキュリティ問題についての報告を1つひとつ真剣に受け止めているとブログでは強調。品質を犠牲にすることなく顧客をより早期に保護できるよう、対応時間改善のための手段を常に模索していると結んでいる。

image Microsoft Security Response Center Blog!

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ