先月、マイクロソフトは、数十件のセキュリティ上の欠陥を修正するはずだったパッチサイクル全体を不可解にもスキップしました。同社は今回、134件の脆弱性を修正する大規模なパッチバンドルをリリースしました。そもそも2月のアップデートを延期した理由については、マイクロソフトは沈黙を守っています。
1ヶ月分のアップデートをスキップする
Windowsは数億行に及ぶコードを持つ大規模なオペレーティングシステムであるため、毎月少なくとも数十の脆弱性が発見され、修正されることがほぼ確実です。だからこそ、これらのアップデートをタイムリーに提供することが重要です。そうでなければ、攻撃者が脆弱性を悪用する時間を与えてしまうことになります。
場合によっては、特定のバグはオペレーティングシステムの重要なコンポーネントの機能に影響を与えるため、修正が困難になることがあります。そのバグを修正すると、多くのプログラムが動作しなくなる可能性があり、Microsoftはおそらくそれを可能な限り避けようとしているのでしょう。
そのため、たとえバグが既に公開され、多くの攻撃者が自由に悪用できる状態であったとしても、Microsoftがバグの修正に3ヶ月以上かかることは理解できる場合もあります。しかし、今回のケースでは、Microsoftは1つのパッチではなく、少なくとも数十のパッチを、何の説明もなく遅らせました。
なぜこのような事態になったのかは推測するしかありません。なぜなら、Microsoftは今もなおこの件について口を閉ざしているからです。おそらく原因は、Microsoftの新しいアップデートメカニズム「ロールアップモデル」にあると考えられます。このモデルでは、複数のアップデートを単一のファイルにまとめて配信します。
マイクロソフトのこの主張は、かなり理にかなっているように思える。たとえ一部のパッチがシステムに悪影響を及ぼす可能性があったとしても、ユーザーがアップデートを「選り好み」するようなことは避けたいというのが同社の考えだ。マイクロソフトは、すべてのWindowsバージョンの断片化を緩和したいと考えている。これにより、Windowsシステムの信頼性とセキュリティが向上するとマイクロソフトは主張している。
しかし、これだけでは、マイクロソフトが、数十の脆弱性を 1 か月間も放置するのではなく、バンドル ファイルからまだ準備できていないパッチだけを取り出し、残りをユーザーに提供できなかった理由が説明されません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
3月のパッチ火曜日
マイクロソフトが2月の月例パッチを3月まで延期したため、多くの脆弱性が修正されると予想されていました。3月の月例パッチは17件のセキュリティ情報で構成され、134件の脆弱性が修正されました。セキュリティ情報のほぼ半数が「緊急」で、これはリモートコード実行の脆弱性を意味します。残りの半分は「重要」と評価されました。
マイクロソフトは、どのような脆弱性が修正されたかをユーザーが確認できるセキュリティ情報の提供を継続してきました。しかし、同社は以前、近い将来にこうしたセキュリティ情報の提供を停止すると発表しており、アップデート計画全体がユーザーにとってさらに不透明になっています。
Windows GDIセキュリティ情報は、最も優先度の高いセキュリティ情報であるように思われます。この脆弱性により、攻撃者は細工したWebページやドキュメントを介してユーザーをハッキングできる可能性があります。このゼロデイ脆弱性は現在も悪用されており、Microsoftが2月の更新プログラムのロールアップを省略したことで、攻撃者は時間を稼いだと既に感じています。
次に優先すべきアップデートは、Microsoftのサーバーメッセージブロック(SMB)プロトコルに関するものでした。このプロトコルの脆弱性により、攻撃者はサーバーに接続するクライアントを制御できる可能性があります。
このプロトコルに危険な脆弱性があることは先月から知られており、当時は概念実証用のエクスプロイトも公開されていました。Microsoftは、多くのシステムに影響を及ぼすことなく修正を間に合うように行うことはおそらく不可能だったため、今月中にパッチをリリースすることを決定したのでしょう。Windowsのエンタープライズ顧客は、サードパーティのセキュリティベンダーによる緩和策に頼らざるを得ませんでした。
マイクロソフトの両ブラウザに複数の脆弱性があり、攻撃者が特別なウェブページを作成し、ユーザーのシステム上でリモートコード実行を行える可能性があります。Officeにも同様の脆弱性が見つかり、攻撃者は特別に細工したドキュメントを通じてユーザーのマシン上でリモートコード実行を行える可能性があります。
MicrosoftのExchange、Hyper-V、IISサーバーソフトウェアにも、リモートコード実行の脆弱性が見つかりました。また、 Active Directory Federation Serverにも脆弱性があり、攻撃者が標的システムの機密情報を読み取る可能性があります。
今回の Patch Tuesday アップデートでは、一般ユーザーと企業ユーザーの両方に影響を与える重大な脆弱性が多数見つかったようですが、これは先月一部の脆弱性にパッチが適用されなかったことが一因です。
Windowsには一度に非常に多くのパッチが適用されるため、以前のPatch Tuesdayロールアップよりも多くの問題がユーザーのコンピューターに発生しているかどうかは興味深いところです。適用されるアップデートの数が少ないほど、マイクロソフトが原因を突き止めやすくなります。アップデートの数が多いほど、それぞれが他の動作に影響を与える可能性があります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
