現在地 HOME > 掲示板 > IT4 > 313.html ★阿修羅♪ |
|
(回答先: 「月1回のパッチは逆効果?」- 米マイクロソフトの新方針に疑問の声【CnetJapan 記事 月一アップデートの矛盾はほとんどお笑いネタですね(^^;】 投稿者 クエスチョン 日時 2003 年 11 月 12 日 23:08:39)
今や、IT板がかなり面白いのに、その割にはアクセス数が少ない。(^^;
エンタープライズ:
米マイクロソフト、米祝日にセキュリティパッチをリリース【CnetJapan 記事 退役軍人の日出勤で非難轟々。またがんばれGATES君のネタが、(^^;】
http://japan.cnet.com/news/ent/story/0,2000047623,20061917,00.htm
2003年11月12日(水) 10時00分
米Microsoftは、Windowsオペレーティングシステム(OS)のセキュリテ
ィアップデート3件と、Officeのアップデート1件をリリースした。これで、
連邦政府のシステム管理者の多くは、「退役軍人の日」の祝日に働かざる
を得なくなった。
11日(米国時間)に発表された3件のWindowsアップデートは、
Microsoftのセキュリティ脆弱性の深刻度評価で最大レベルの「緊急」に
ランク付けされている。3件のアップデートでは、少なくとも8つのセキュ
リティ脆弱性が修復される。Officeのアップデートは2つの脆弱性を修正
するもので、対象となるのはOffice 97、2000、XPだ。Office 2003にはこ
の脆弱性の影響はない。
「今回は、一部の修正ソフトのなかに複数のパッチを入れるなどしてい
る」とMicrosoftセキュリティ対応センターのセキュリティプログラムマ
ネジャー、Stephen Toulouseは述べている。
「我々は、顧客の修正パッチ適用を促進しようとしている。1つのアッ
プデートに複数のパッチを入れるというやり方は、顧客からの要望にあっ
たことだ」(Toulouse)
今回のアップデートは、Microsoftが修正パッチのリリースを毎月1回、
第2火曜日に行なう方針に改めてから、2度目のリリースとなる。しかし今
年は、11月の第2火曜日が米国では「退役軍人の日」の祝日にあたること
から問題が生じている。連邦コンピューターインシデンス・レスポンスセ
ンター(FedCIRC)は、11月のパッチリリースが連邦政府のシステム管理
者にとって問題となる可能性を予想し、パッチがリリースされる旨の電子
メールを多くの米国政府機関に送信し、各ネットワーク管理者に注意を促
していた。
「FedCIRCは、4件のMicrosoftセキュリティ情報のリリースに関して、
Microsoftと調整を行なった。セキュリティ情報は明日、2003年11月11日
(退役軍人の日)にリリースされる。これらのセキュリティ情報に注意を
払い、担当するインフラに与え得る影響を検討していただきたい」とメー
ルには記されている。
今回パッチがリリースされたなかで、おそらく最も深刻な脆弱性は、
Windows Workstationサービスのメモリエラーだろう。Windows
Workstationサービスは、プリンタやファイルなどのネットワークリソー
スへのアクセスを容易にするソフトウェアコンポーネント。この脆弱性は、
攻撃者にインターネット経由でユーザーのパソコンを制御することを許し
てしまうものだ。その攻撃に用いられる方法は、今年8月に何十万ものコ
ンピュータに感染した、MSBlastワームのものとほぼ同様だ。
今回リリースされたパッチによって、攻撃者にユーザーのパソコンが乗
っ取られる恐れのある、Internet Explorerの複数の脆弱性が修正される。
この脆弱性はクロスドメインの脆弱性と呼ばれるもので、攻撃者が悪意の
あるコードが埋め込まれたウェブサイトにユーザーを誘導して、パソコン
を乗っ取ることを可能にするものだ。また、ユーザーがOutlook 98や
Outlook 2000の、修正パッチを充てていないバージョンを利用している場
合、電子メール経由でもパソコンが乗っ取られる恐れがある。このクロス
ドメインの脆弱性は、Windows Server 2003以外の全てのWindowsプラット
フォーム上の、Internet Explorer 5.01、5.5、および6に影響する。
Microsoftの最新の企業向けOSであるWindows Server 2003では、この欠陥
の影響を制限する初期設定になっている。
パッチのリリースをマンスリーに変更したことについては、複数のセキ
ュリティ専門家から批判が出ている。
「Microsoftは、管理者が楽になるようにと考えて変更を行ったのだろ
うが、実際には悪い連中が次の週にパッチをリリースする可能性が高まり
そうだ」と、自営のセキュリティコンサルタントとして働くRichard
Fornoは述べている。
パッチリリースに関する正規のスケジュールが明らかにすることで、企
業のシステム管理者はこれまでよりもしっかりとアップグレードを行うよ
うになる一方、地下で活動するプログラマーには、ソフトウェアの欠陥を
悪用するコードを、どのタイミングで集中して書けばいいかもわかってし
まうと、同氏は指摘する。
こうした理由から、パッチリリースのタイミング変更で変わるのは、結
局「マイクロソフトのソフトウェアに欠陥が見つかった」というニュース
がメディアに流れる回数が減ることくらいだろうと、Fornoは考えている。
「タイミング変更は、Microsoftの名前をニュースに出さなくすること
のほうに余計に役立つ程度で、同社のマーケティングにとってはいいこと
だろうが、セキュリティ面の改善という点ではお粗末なものだと思う」
関連記事:
「月1回のパッチは逆効果?」- 米マイクロソフトの新方針に疑問の声 - 2003年11月12日
米マイクロソフト、初のマンスリー・セキュリティパッチをリリース - 2003年10月16日
米マイクロソフト、新セキュリティ計画発表--3分野が重点に - 2003年10月10日
Windowsのアップデート自動化を検討する米マイクロソフト - 2003年8月22日
だからマイクロソフトは嫌われる?-セキュリティ担当者の呆れた弁解 - 2003年7月7日
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。