マイクロソフトは、今年4月8日以降は旧式のOSにパッチをリリースしないと何ヶ月も主張してきたにもかかわらず、Windows XPを含むInternet Explorerを悩ませている最新の重大なセキュリティ脆弱性に対するパッチをリリースした。
マイクロソフトの信頼できるコンピューティング担当ゼネラルマネージャー、アドリアン・ホール氏のブログ記事によると、レドモンドが XP ユーザーを困らせるという脅しを緩めたのは、脆弱性 CVE-2014-1776 がパッチの締め切り日の直後に公開されたためだという。
「Windows XPはMicrosoftによるサポートが終了しており、通常のセキュリティアップデートの提供時期も過ぎていますが、本日、Windows XP(組み込み版を含む)の全バージョンにアップデートを提供することを決定しました」とホール氏は述べている。「Windows XPのサポート終了が近いことを踏まえ、この例外を設けました。」
マイクロソフトの言い訳が何であれ、今回の決定は一転したものだ。9月には、このソフトウェア大手は、4月8日以降にXPで発見されたバグは実質的に「永久にゼロデイ脆弱性」となると最初に警告していた。
心変わり…エイドリアン・ホール
今ではレドモンドは、パッチが午前 10 時 PDT (午後 5 時 GMT) に公開され、自動更新を有効にしていない顧客は今すぐに Windows Update にアクセスして「更新プログラムの確認」をクリックするようにとまで言っています。Microsoft は、この脆弱性は実際には大したことではないと主張しているにもかかわらずです。
「実際には、この特定の脆弱性に基づく攻撃はごく少数であり、率直に言って、懸念は誇張されていた」とホール氏は書いている。
これは、英国や米国の政府機関を含む独立系セキュリティ専門家が、Microsoft が修正プログラムを発行するまで Windows ユーザーは IE を一切使用しないよう警告しているにもかかわらずである。
さらに、ホール氏は「このアップデートがリリースされたからといって、Windows XP から新しいバージョンの Windows と最新バージョンの Internet Explorer に移行することを考えるのをやめる必要はない」と付け加えた。
今日まで、それがあまり役に立たなかったとは思いません。木曜日のパッチで修正されるバグは、リモートコード実行(つまり、攻撃者がシステムを制御できるようになる)を許してしまいます。このバグはInternet Explorer 6から11までの全バージョンに影響するため、Microsoftの最新OSとブラウザを使っている人もパッチを適用する必要があります。
エル・レグ氏が、木曜日のパッチは実際にWindows XPの将来のセキュリティアップデートが期待できることを示すものなのかと質問したところ、マイクロソフトの広報担当者はホール氏のブログ記事を紹介したが、それ以外はコメントを控えた。®
