Microsoft、6月の月例パッチを公開 ― 過去最多となる59件の IE 脆弱性を修正

インターネットコム / 2014年6月11日 14時50分

写真

Microsoft、6月の月例パッチを公開 ― 過去最多となる59件もの IE 脆弱性を修正

米国 Microsoft は6月11日、過去最大規模の月例パッチを公開した。「緊急」とされる「MS14-035」では、Web ブラウザ Internet Explorer(IE)に対する59件の脆弱性に対応している。

IE に対するセキュリティアップデート件数の多さは、一部のセキュリティ専門家を驚かせた。Qualys CTO である Wolfgang Kandek 氏は eWeek に対し、次のように述べている。

「私は件数の多さに驚き、最初はこれまで対応していなかった小さなバグを今回まとめて修正したのではないかと推測した。だがそうではないようだ。今回の脆弱性の多くは、数人の限られたリサーチャーによって発見されたものだったのだ。

これは私の想像だが、リサーチャーたちは新しいツールを開発したのではないだろうか?そのツールは、IE のバイナリ全体をチェックし、コードに繰り返し現れる同一の脆弱性パターンを発見可能なのではないかと思う」

Kandek 氏は、脆弱性発見を自動化する取り組みが増加するのは良いことだと述べた。

セキュリティ企業 Tripwire のセキュリティリサーチマネージャ Tyler Reguly 氏は、別の見解を示した。同氏は、5月の月例パッチを見れば、今月のパッチの状況は不思議ではないと説明する。

「5月のパッチは、緊急パッチの性質を持ったものだった。Microsoft は先月のパッチを緊急パッチ扱いでリリースし、累積的なアップデートを今月にまわしたのだろうと我々は推測している。この推測が正しければ、今回公開されたパッチは、5月分と6月分のパッチを1つにまとめたものだということになる」

Tripwire のデータによれば、6月の月例パッチに含まれる IE に対する CVE の数は、Tripwire がパッチトレンドデータを収集し始めた2009年以来、最多だったそうだ。

■ Pwn2Own で発見され、放置されていた脆弱性

59件の IE セキュリティ脆弱性の中には、3月の「Pwn2Own」ブラウザハッキングコンテストで報告されたものも含まれている。「CVE-2014-1764」と「CVE-2014-2777」への対応は、セキュリティ企業 VUPEN の貢献によると Microsoft はクレジットしている。VUPEN は、Pwn2Own コンテストで今年も突出した成果を上げた企業だ。HP ZDI のマネージャである Brian Gorenc 氏は eWeek に対し、次のように述べた。

  • 前のページ
    • 1
    • 2
  • 次のページ
インターネットコム

トピックスRSS

ランキング