［世界］
マイクロソフト、月例セキュリティ・パッチの一部を再リリース

Windows XPでBluetoothの脆弱性が解決されない問題に対応

（2008年06月20日）

　米国Microsoftは6月19日、先週リリースした月例セキュリティ・パッチの一部が問題を解決できなかったとして、修正したパッチを再リリースした。

　問題のセキュリティ情報「MS08-030」は、「Bluetoothスタックの脆弱性により、リモートでコードが実行される」という内容である。Microsoftのセキュリティ・レスポンス・センター（MSRC）の広報担当であるクリストファー・バッド（Christopher Budd）氏は、電子メールを通じ、「先週、この問題を解決するセキュリティ・パッチを公開した後で、Windows XP SP2およびSP3では危険を完全に回避できない可能性が判明した」と説明した。問題が発覚してすぐ、同社はその対応策としてソフトウェア・セキュリティ・インシデント・レスポンス・プロセス（SSIRP）を実行し、現在調査にあたっているという。

　今月10日にリリースされた7件のセキュリティ・パッチは、Windowsおよび他のMicrosoft製ソフトウェアで発見された合計10件の脆弱性を修正するもの（関連記事）。MS08-030で報告された問題は、Microsoftの危険度ランクで最も高い「緊急」とされた3件のうちの1つであった。

　MS08-030に対するパッチは、WindowsがBluetoothを実行する際に生じていたセキュリティ・ホールを埋めるものであり、一部のアナリストは、リリースされたパッチ群の中でもこれを最も重要視していたようだ。

　Budd氏は、先週リリースしたセキュリティ・パッチは、Windows Vistaおよび64ビット版のWindows XPでは特に問題とならないが、SP3を含む32ビット版のWindows XPでは脆弱性が完全に修正できなかったと述べている。また同氏は、不完全なパッチが同社のテスト作業をすり抜けてしまった原因を必ず究明すると約束した。

　Budd氏は、現在原因を調査中であるとしているが、人為的なミスである可能性が高いとの見解を示している。「調査はまだ始まったばかりだが、2件の人為的なミスが重なった可能性がある。調査が完了した後、このような問題が二度と発生しないように対策を講じるつもりだ」（Budd氏）

　Microsoftがセキュリティ・パッチを再リリースしたのは、実はこれが初めてではない。最近では、今年3月の月例セキュリティ・アップデートに含まれていたExcelの脆弱性を修正するパッチに、一部のバージョンで不正確な計算結果を出力してしまう不具合が見つかり、再リリースを余儀なくされた。

　なお、修正されたMS08-030のセキュリティ情報によると、新しいパッチは「Windows Update」や「Windows Server Update Service（WSUS）」といった通常の配布方法により入手・更新が可能である。

(Gregg Keizer／Computerworld米国版)