【Computing】MS06-042 やっと修正ﾊﾟｯﾁ配布

◎様々な紆余曲折を経て,MS06-042の修正リリースが発行された.
http://www.itmedia.co.jp/news/articles/0608/25/news034.html
番号が変更されていないのでちゃんと適用されているかどうか不明だが,とりあえずWU/MUの状況を見る限りちゃんとインストールされているようだ.
ちなみにこのMS06-042の不具合に関するアドバイザリは更新されていない. MS06-042自体のアドバイザリは更新されてるんだけど…

◎さてこの件について,ITmediaに検証記事が載っている. つってもeWEEKの和訳だけど.
http://www.itmedia.co.jp/enterprise/articles/0608/24/news064.html
長ったらしいので要点をつまむと(斜体は引用部分)

･パッチリリースを延期した理由は「Microsoftでは、パッチ管理を簡素化するためのビジネスツールとしてSMSを宣伝しているが、SMSアーキテクチャが特定の圧縮ファイルを処理する方法にバグが見つかったため｣とされている.

･しかし民間調査団体eBayはIEの問題は単なるブラウザのクラッシュであるとしたMicrosoftの当初の説明に対し、これは悪用につながる脆弱性であることを暴露した上で,
｢Auto Updateはきちんと機能し、ほかの多数のパッチ提供ベンダーがそれを扱えるはずなのに、MicrosoftはSMSに欠陥があるという理由でユーザーを危険にさらそうとしている｣
と述べている.

◎ちなみにeBayの指摘した脆弱性について,Microsoft自身が
「urlmon.dll」のクラッシュを通じて出現すると述べているが、これはeEyeなどが公表したものよりもはるかに詳細な情報である。
Microsoftは当初のIEパッチで導入された新たな脆弱性の責任を開発担当者に取らせる予定
だそうだ. うーん,脆弱性の再現条件が把握できてて,なおかつそれの責任元をはっきりさせるってことは,やっぱりMS自身が｢脆弱性が存在した｣ってことを認めてるのと同じようなもんだと思うんだけど.
脆弱性が存在するのに,パッチ延期の理由はSMSアーキテクチャの不具合?
なんか,eBayの主張がそのまま当てはまってるような…

◎別にいまさらMS06-042自体の不具合をどうこう言うつもりは無いが,その不具合の対応があまりにお粗末すぎた今回の件.
不具合があったらあったで,確実に不具合修正が出来る日程の提示と,確実なパッチ配布をしっかり行うべきじゃなかろうか. ｺﾞﾙｧ電ありきのオンクレーム対応で対処しているようでは,マトモな市場サポート体制とはとても呼べない.