Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、脆弱性への懸念と実態に乖離があると説明 - 「ゼロデイ攻撃は限定的、安心してほしい」

日本マイクロソフトは、ウェブブラウザ「Internet Explorer」に見つかった脆弱性「CVE-2014-1776」を修正する「MS14-021」を5月2日に緊急公開した。今回の脆弱性について、今のところ影響は限定的で、実態より大きな懸念が広がっているとの見解も示している。

今回公開した「MS14-021」は、同社が、毎月公開している月例更新以外のタイミングで公開するいわゆる「定例外パッチ」。定例外の公開は、2013年1月に公開した「MS13-008」以来、約16カ月ぶりとなる。

ゼロデイ攻撃の発生が、必ずしも「定例外パッチ」に結びつくわけではない。2014年に入ってからも複数のゼロデイ攻撃が発生している。たとえば、2014年2月中旬にゼロデイ攻撃が発生した「CVE-2014-0322」。その後、国内でもウェブ改ざんによる脆弱性攻撃が拡大した。

同脆弱性に対し、同社は定例外による対応について可能性こそ排除しなかったものの、緩和策である「Fix it」の提供や、「Microsoft Active Protections Program(MAPP)」によるセキュリティベンダーとの情報共有などにとどめ、同脆弱性の修正は、3月の月例更新で対応した。

また3月後半に判明した「Word」の脆弱性「CVE-2014-1761」に関しても同様の対応で、4月の月例パッチで修正している。

同社では、セキュリティ更新プログラムを提供する際、適用下で問題が発生しないようプログラムの品質確保と、攻撃の発生状況のバランスなどをもとにタイミングを決定している。

また提供日があらかじめ決定している月例パッチと比較し、定例外で提供するパッチは、動作確認が必要となるユーザーにとっては負担が大きいとして、極力避ける傾向が強まっている。

(Security NEXT - 2014/05/02 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

既知の脆弱性10件、積極的な悪用に警戒を - 約10年前の脆弱性も
MS、定例外パッチでIEの脆弱性を修正 - 特例で「Windows XP」にも
IEゼロデイ攻撃「Operation Clandestine Fox」、Flashなしでは機能せず - FireEye分析
【IEゼロデイ】サポート終了「Windows XP」に修正予定ない最初の脆弱性
【ゼロデイ攻撃】IEに未修正の深刻な脆弱性 - サイト閲覧で制御奪われるおそれ