Microsoftの脆弱性レポートサイト「セキュリティ更新プログラム ガイド」が改善

「セキュリティ更新プログラム ガイド」に［Advisories］（アドバイザリ）タブを追加

　米Microsoftは2月15日（現地時間）、「セキュリティ更新プログラム ガイド」の改善を発表した。「展開」（月次セキュリティアップデートのまとめ）、「脆弱性」のタブに加え、［Advisories］（アドバイザリ）タブを加えてわかりやすくするという。

　この［Advisories］タブには、CVE番号割り当ての基準を満たさないセキュリティ問題に関する情報が掲載されるとのこと。業界標準のCVE形式に適合しない追加情報も表示される。

［Advisories］（アドバイザリ）タブ

　たとえば、現在掲載されている「ADV24199071」は「ASP.NET」アプリの古いサンプルに含まれていたアカウント認証関連のコードにリモートコード実行の問題があるというアドバイザリだ。

　このコードはあくまでもアプリ開発者向けの教材であり、そのまま製品アプリに使われることは想定されておらず、パッチが提供されることは基本ない。とはいえ、そのままアプリに取り込んでしまう開発者がいれば脆弱性の温床となりかねないため、「脆弱性」ではなく、「アドバイザリ」として対処法が案内されることになった。

「ADV24199071」

　［Advisories］タブには、「Microsoft Security Response Center」（MRRC）のブログも統合されるとのこと。セキュリティ情報にアンテナを張っているユーザーやシステム管理者は購読をお勧めする。