PR

 マイクロソフトは米国時間第2火曜日(日本時間では翌水曜日)、同社製品に見つかった脆弱(ぜいじゃく)性情報をまとめた「セキュリティ情報」と、脆弱性を修正するためのプログラム「セキュリティ更新プログラム(修正パッチ)」を公表しています。

 このセキュリティ情報。読んだことのある人はお分かりでしょうが難解です。何が問題なのか、どういった影響があるのか分かりにくいことが少なくありません。7月29日に緊急公開された識別番号「MS09-034」と「MS09-035」のセキュリティ情報を読んで、改めて痛感しました。

 冒頭でも書いたように、マイクロソフトでは同社製品のセキュリティ情報とセキュリティ更新プログラムを、毎月第2火曜日(米国時間。日本時間ではその翌日)にまとめて公開しています。毎月決められた日に公開することで、システム管理者などがパッチ適用のスケジュールを立てやすくしています。

 余談ではありますが、定例の公開日を「日本時間で毎月第2水曜日」と書かないのは、第2火曜日の翌日が、第2水曜日とは限らないからです。水曜日から始まっている月は、第3水曜日になります。

 閑話休題。ただし、同社が緊急を要すると判断した場合などには、定例日以外に公開することがあります。過去に何度かあり、7月29日に公開された「MS09-034」と「MS09-035」もその一つです。これらの最大深刻度(危険度)とタイトルは以下の通りです。

  • マイクロソフト セキュリティ情報 MS09-034 - 緊急
    Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
  • マイクロソフト セキュリティ情報 MS09-035 - 警告
    Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)

 「MS09-034」は深刻度が最悪の「緊急」、「MS09-035」は4段階評価で上から3番目の「警告」です。誰が見ても、危ないのは「MS09-034」の脆弱性であり、わざわざ緊急公開したのは「MS09-034」が原因だと思うはずです。

 ところが、です。緊急公開の原因は「MS09-035」の脆弱性だったのです。この脆弱性の影響が広範で、悪用された場合の被害が甚大になることが予想されたので、次回の定例公開日8月11日を待たずに公開されたのです。

 では、なぜそのように危険な脆弱性が「警告」なのか。この脆弱性は、同社の開発ツール「Visual Studio」に含まれるライブラリーに存在します。そのライブラリーで作成されたソフトウエアには、とても危険な脆弱性が作り込まれる恐れがあります。具体的には、そういったソフトウエアをインストールしたパソコンでは、細工が施されたWebページにIEでアクセスするだけで、ウイルスなどを勝手に実行される危険性があるのです。

 ただし影響を受ける恐れがあるのは、Visual Studioで作成したソフトウエアであり、Visual Studio自体が攻撃を受けることはありません。このため、最大深刻度は4段階評価で上から3番目の「警告」に設定しているといいます。一ユーザーとしてはふに落ちませんが、同社の“決め”の問題なので、どうにもなりません。