Vista SP1とWindows Server 2008に早くも脆弱性が発覚/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

　米国Microsoftは4月3日、4月の月例パッチとして、Windows、Internet Explorer（IE）、Officeなどの脆弱性を修正する8件のセキュリティ更新プログラムを8日にリリースすると発表した。

　今回の8件のパッチのうち5件は、危険度が最も高い「緊急」で、残り3件は次に危険度の高い「重要」にランクされた。緊急レベルのパッチのうち1件は、リリースされて間もないWindows Vista Service Pack 1(SP1)と、サーバOSの最新版Windows Server 2008も対象となっている。Windows Server 2008は5週間前、Windows Vista SP1は2週間前にリリースされたばかりだ。

　Microsoftはいつものように、月例パッチの詳細な内容は明らかにしていない。しかし同社Webサイトに事前公開された情報によると、今回の「緊急」レベルのパッチは、Windows 2000、Windows XP、Windows Vista、Windows Vista SP1、Windows Server 2008のすべてに関係する脆弱性を修正するもののようだ。

　米国のセキュリティ・ソリューション・ベンダーnCircle Network Securityのセキュリティ業務担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、「全バージョンのOSにまたがる『緊急』のパッチがあるということは、相当深刻な脆弱性が見つかった可能性がある」と指摘した。「Vista SP1や、とりわけWindows Server 2008では、緊急レベルの脆弱性は当然解消できていると期待していた。しかし、最新OSにもこの脆弱性は引き継がれてしまったようだ」（同氏）

　Microsoftは今年2月下旬、製品のオープン性と相互運用性を強化する方針を発表し、VistaやWindows Server 2008を含む最新ソフトウェアの通信プロトコルやAPIなどの公開に踏み切った。Storms氏は、この情報公開が今回の緊急パッチのリリースにつながったとの見方を示している。

　Storms氏を含むセキュリティ専門家はすでに2月の時点で、Microsoftがソフトウェアの技術情報を一般公開すれば、さまざまな脆弱性やエクスプロイト・コード（セキュリティ・ホールをターゲットとするプログラム）の発見が短期間で急増すると予測していたという。

　8日にリリースされるパッチには、IEおよびOfficeを対象とする複数の脆弱性の修正も含まれる。IEに関する2件のパッチのうちの1件は、最新のIE 7で見つかった、複数の緊急レベルの脆弱性を修正するものだという。

　また今回、Office製品の中ではあまり知られていないOffice Visio、同Projectを修正する「重要」ランクのパッチも配布される。Storms氏によると、これらのプログラムのファイル形式に脆弱性が存在しているという。

　さらに、2月の月例パッチに含まれずに直前でキャンセルされたVBScript、およびJScriptの脆弱性に対処するパッチも含まれる見通しだ。

　なお、今回のセキュリティ更新プログラムとは別に、Officeの海賊版防止技術や、Windows Live Writerなどの最重要アップデートも同時にリリースされるという。予定どおり8件すべてのアップデートが行われれば、2008年に入り最初の4カ月で、すでに25件のパッチが公開されたことになる。このペースが続けば、昨年全体の69件という数字を超える可能性が高いと言えるだろう。