［世界］
マイクロソフトの月例パッチ、9月は4件の「緊急」を予定

米国時間9日に公開され、適用対象は広範に及ぶ見込み

（2008年09月05日）

　米国Microsoftは9月4日、9日に公開予定の月例セキュリティ更新プログラムの概要を明らかにした。今回のセキュリティ・パッチは4件で、数としては先月の3分の1にすぎないが、いずれも重大な脆弱性にかかわる「緊急（critical）」レベルに分類されている。

Microsoftが公表した事前通知（日本語版）

　8月の12件よりもかなり少ない4件だからといって、9月のパッチ適用作業が容易とはかぎらない。そう指摘するのは、調査会社nCircle Network Securityのセキュリティ・オペレーションズ担当ディレクター、アンドリュー・ストームズ（Andrew Storms）氏である。

　「（パッチ適用作業が）楽にはなるとは思えない。影響を受けるアプリケーションやOSは広範だ。パッチ数が4件だけということから想像するよりも、作業は大変なものになるだろう」（ストームズ氏）

　同氏は今回の月例パッチを「潜在的に大規模なもの」と見ているようだ。

　Microsoftが9月4日に公表した事前通知によると、4件のパッチは最も深刻度が高い「緊急」に位置づけられている。だが、いつものように、事前通知に含まれる情報は、影響を受けるソフトウェアの名称とバグの簡単な説明に限られている。

　4件のパッチはいずれも「リモート実行の脆弱性」を修正するもの。この脆弱性が悪用されると、悪意あるコードがPCに送り込まれ、システムのコントロール権が奪われてしまうおそれもある。

　4件のパッチのうち、Windows OSに関する1件は、実際には同OSだけでなくInternet Explorer（IE）や.NET Framework、Office、SQL Server、Visual Studioにも影響を及ぼすと、Microsoftでは説明している。このようなセキュリティ・パッチは過去にあまり例がなく、ストームズ氏も意表を突かれたと述べた。

　「セキュリティ更新に関するMicrosoftの概説方法が変化したことを意味しているのか、それとも今回だけの特殊なケースなのか。正直いって判断が難しい」（ストームズ氏）

　それでもどちらなのかと問われれば、後者である可能性が高いというのが同氏の答えだ。「似たようなことは、これまでにもあったと思う。追って公開される詳細情報を見て、（広範なアプリケーションやOSが挙げられている理由に）納得した記憶がある」

　4件のパッチには、Windows Media Player 11の脆弱性を修正するものも2件含まれている。このうち1件は、もともとは先月配布予定だったが、直前に引っ込められたものだ。そしてもう1件は、Windows Media Encoder（オーディオ／ビデオ・データをWindows Mediaフォーマットに変換したりライブ・コンテンツをキャプチャしたりするための無料ツール）のバグ修正だと推測される。しかも、この2件は密接に関連していると、ストームズ氏は見ている。

　残る1件は、Office XP/2003/2007のバグ修正である。先月の3件も含め、これまでOffice向けセキュリティ・プログラムの多くはファイル・フォーマットの脆弱性に関係するものだったが、今回はそうでない可能性が高い。「特にOffice 2007に関してはそうだ」とストームズ氏は言う。ちなみに、Office 2007はOpen XMLをデフォルトのファイル・フォーマットとして初めて採用したオフィス・アプリケーションである。

　Microsoftは9日、今回の4件以外の更新プログラムも併せて公開する。これらはすべてセキュリティとは無関係であり、Windows Vistaの信頼性を向上させるもの（これまで何件か提供されてきた）と、Windows Server 2008の「Hyper-V Volume Shadow Copy Service」（仮想マシン・バックアップ・ツール）の問題を修正するものが含まれている。

(Gregg Keizer／Computerworld米国版)