［米国］
「緊急」が7件、Macにも対応――Microsoftが月例パッチを12日に公開

「ほぼすべてのWindowsユーザーが対象」と専門家

（2008年02月08日）

　米国Microsoftは2月7日、2月の月例パッチとして、12件のセキュリティ更新プログラムを2月12日に公開すると発表した。このうちの7件は、同社の深刻度評価システムで最高レベルの「緊急」とされている。

　2007年の月例パッチで件数が最も多かったのは2月の12件で、12日の月例パッチはこれに並ぶことになる。

　米国のセキュリティ・ソリューション・ベンダーnCircleのセキュリティ・オペレーション・ディレクター、アンドルー・ストームズ（Andrew Storms）氏は、「パッチの種類の多さと重要度から見て、ほぼすべてのWindowsユーザーや関係者は、12日に注目する必要があるだろう」と語った。「来週のパッチは、アプリケーションとOS、クライアント側とサーバ側のすべての領域にかかわっている」（Storms氏）

　Microsoftは7日午前、同社のWebサイトでセキュリティ情報の事前通知を公開した。ここに挙げられた12件の更新プログラムの内訳は、Microsoft Office用が3件、Windows用が3件、Internet Information Services（IIS）用が2件、Internet Explorer用、Microsoft Works用、VBScriptおよびJScript用、Active Directory用が各1件ずつだった。また、これらのパッチには、Office 2004 for Macの問題を修正するものも含まれる。

　nCircleのStorms氏は、今回の月例パッチについて、その数の多さに驚かされたという。「セキュリティ更新プログラムのテストと導入を担当するITスタッフの多くが、火曜から残業するハメになるだろう」（Storms氏）

　また同氏は、Office用の3件のパッチを例に挙げ、新しいバージョンのアプリケーションには旧バージョンの脆弱性が一部残される傾向があることを指摘した。ただし、その深刻度は、新バージョンになるほど低くなるという。すなわち、今回のパッチはいずれも、Office 2000に含まれるアプリケーションの「緊急」の脆弱性を修正するものだが、この脆弱性はOffice XPとOffice 2003のアプリケーションについては、より深刻度が低い「重要」にランクされる。

　もっとも、この脆弱性の影響を受けるもののリストには、Windows用Office 2007版とOffice for Mac 2008版に含まれるアプリケーションは含まれていない。

　「これは、新しいアプリケーションほど安全になっていることを示している。Microsoftは新しいアプリケーションほど、セキュリティ関連の問題に力を入れているのだろう」（Storms氏）

　同氏はまた、今回のパッチで修正されるOfficeとWorksの脆弱性は、ファイル・フォーマットの解析にかかわるものだと予想している。実際、ここ2年間に明らかにされたこれらオフィス・スイートの脆弱性の多くは、ファイル・フォーマットの問題に関連するものだった。

　同氏はさらに、Windows用の3件のパッチで修正される脆弱性の1つは、IPスタックに関連している可能性があると語った。「最近のパッチで修正されたIGMP、あるいはICMPの新たな脆弱性かもしれない」（Storms氏）

　なおMicrosoftは、12件のセキュリティ更新プログラムのほかに、セキュリティ以外の7件の更新プロラムも12日に公開する。このうち5件はOffice製品向けのようだ。

(Gregg Keizer／Computerworld オンライン米国版)