マイクロソフト、5月の月例パッチを事前通知――緊急3件を含む4件
5月13日に公開開始。懸案だった「Jet Database Engine」のバグも解消へ米国Microsoftは5月8日、5月13日に公開する月例セキュリティ更新プログラムを事前発表した。今月の月例セキュリティ更新プログラムは合計4件で、Windows、「Microsoft Word」、「Microsoft Publisher」、Microsoftの全マルウェア対策ソフトウェア(「Microsoft Antigen」「Microsoft Forefront Security」「Windows Live OneCare」「Windows Defender」)の問題を修正する。
今回公開されるセキュリティ更新プログラム全4件のうち、3件の深刻度が「緊急」となっている。深刻度が緊急の更新プログラムの1つは、2005年から判明していた「Microsoft Jet Database Engine」のバグを解消する。他の2件の緊急パッチは、WordとPublisherのセキュリティ・ホールをふさぐものだ。
Jet Database Engineは、「Microsoft Access」や「Microsoft Visual Basic」などのソフトウェアにデータ・アクセス機能を提供するWindowsコンポーネントである。同社は3月22日に公開したセキュリティ・アドバイザリで、Jet Database Engineの重大な脆弱性について警告し、Jet Database Engineのバグを悪用するWordドキュメントによる「非常に限定的な、的を絞った攻撃に関する公開されている報告」の内容を認めた(関連記事)。
その数日後、Microsoftのセキュリティ・チームは、Jet Database Engineのこのバグについて2年以上前から把握していたが、明らかな攻撃ベクトルをブロックしたと考えていたため、パッチを提供してこなかったことを認めた。米国Microsoft Security Response Center(MSRC)のオペレーション・マネジャー、マイク・リービー(Mike Reavey)氏はMSRCの公式ブログで、「欠陥を修正するため、Windows 2000、Windows XP、Windows Server 2003 SP1に含まれるJet Database Engineを置き換えることになる可能性がある」とコメントしている(MSRCブログのエントリー)。
Windows Vista、Windows Server 2003 SP2、リリースされたばかりのWindows XP SP3に含まれるJet Database Engineは問題の脆弱性がなく、置き換える必要がない。今回の事前通知によると、来週公開の月例セキュリティ更新プログラムにより、Windows 2000、XP SP2、Server 2003 SP1に含まれる、バグのあるJet Database Engineが交換される。
また、米国nCircleのセキュリティ担当ディレクター、アンドルー・ストームズ(Andrew Storms)氏は次のように指摘している。「Microsoftが5月13日にWordを修正するのは、Jet Database Engineの攻撃ベクトルを遮断するためと見られる。彼らは問題の両面を解決しようとしているのだと思う。これは正しいことだ」
Storms氏は、このバグはマイナーな部類に入るものと見ている。Microsoftは毎月第2火曜日に月例セキュリティ更新プログラムを公開している。同社が13日に今回の事前通知どおりに公開を行えば、2008年1〜5月のセキュリティ更新プログラムの公開累計は29件となる。これは前年同期と同数のレベルだ。
(Gregg Keizer/Computerworld米国版)
