マイクロソフトが、月例のセキュリティ更新プログラムとセキュリティ情報を4月12日未明に公開した。
内容は、最大深刻度が最も深刻な"緊急"のものが3つ、その次のレベルの“重要”が1つ、警告が1つ。緊急のなかの1つは、セキュリティパッチがリリースされる以前に脆弱性、その存在を証明するためのサンプルプログラム、さらに、それをもとに悪意のプログラムも作られている、非常に危険なセキュリティホール「createTextRange()問題」に対する修正も含んでいる。これは、早急、かつ確実にインストールすべきセキュリティ更新だ。ただし、この更新には「ActiveXの動作を一部変えてしまう」という問題もある。
サーバー側のWebコンテンツ側に手を入れて、このセキュリティ更新を適用した場合でも、挙動の変わらないようにする方法は、特別企画記事:「4月の月例パッチ前に、Webコンテンツを修正する 」で説明した通りだ。
逆に、Webを閲覧するクライアントPC側でこの挙動が変わらないようにするためには、Microsoft Updateで自動的にインストールされるセキュリティ更新以外にも「Compatibility Patch」を利用する必要があることがわかっている。
このあたりの事情も踏まえつつ、今月の「緊急」に相当する更新の内容を見てみよう。
● MS06-013:IE用の累積的なセキュリティ更新プログラム
冒頭に挙げた、早急かつ確実にイントールすべきセキュリティ更新プログラムがこれだ。マイクロソフトの解説ページに寄れば、この累積パッチは、「MS05-054」、「MS06-004」という過去に提供されたセキュリティ更新を置き換え、また、実に10個ものセキュリティホールを塞ぐものだとされている。
そのセキュリティホールの中には、多くの「セキュリティ更新がリリースされる以前にexploitや、これを利用した悪意のコードが存在した」ものも複数存在している。
その中の1つが、「createTextRng()問題」だ。この更新では「DHTML メソッド コールのメモリの破損の脆弱性 - CVE-2006-1359」という名前になっている。HTMLテキスト中に、このcreateTextRng()というメソッドを利用する悪意のスクリプトを書くと、Internet Explorerにヒープオーバーフローを起こすことができる。そのままでもInternet Explorerを落とすDos攻撃に利用可能で、技術力があれば、Webを閲覧したり、メールを見るだけで、閲覧したマシン上にリモートで任意のプログラムを実行することが可能だ、という問題だ。
また、「onmouseover, onclick, onload メソッドでバッファオーバーフローが起こる問題(マルチプル イベント ハンドラのメモリの破損の脆弱性 - CVE-2006-1245)」で、createTextRngほど知られてはいないが、やはり、スタックオーバーフローによって0-day exploitが公表され、任意のコードをリモートPC上で実行できる脆弱性だ。
さらに、同じく0-day exploitが公表されている脆弱性としては、「HTML タグのメモリの破損の脆弱性」(CVE-2006-1188)に対する修正も含まれる。また、マイクロソフトのサイトでは未公開のものとされているが「HTA の実行の脆弱性」も実行コードの公開はされなかったものの、セキュリティホールの概要については語られていたものだ。
ちなみに、ここ数カ月、Internet ExplorerのActiveXコントロールに関する修正では、不正なActiveXを実行されないように、いくつかの種類のモジュールに対してkillbitを設定するという修正が行なわれていることがある。
今月の修正でも、今回Microsoft Design Tools Polyine Control 2 COMオブジェクト(Mdt2.dllなど)に対してのkillbit設定が、Windows Updateには追加されている。
■URL
Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-013.mspx
● Mshtml.dll に関する Internet Explorer ActiveX 互換性修正プログラム(KB917425)
ここで、(これは直接セキュリティ問題ではないが)、互換性修正プログラムについても触れておこう。
セキュリティ更新「MS06-013」は大変重要なセキュリティ更新なのだが、これをインストールすることによりActiveXの動作が変わってしまう。たとえば、Webサイト上でobjectやembedタグを使ってWindows Media PlayerやQuick Time Playerを表示させようとしたときに、コントロールをアクティブ化し、使用するためにはこれまでより1クリック余分に必要になる。
このInternet Explorerの動作を、以前と同じように変更するプログラムがマイクロソフトから配布されている。「互換性修正プログラム」がそれだ。このソフトはMicrosoft Updateには表示されないので、自力で、Patchをダウンロードし、インストールする必要がある。
インストールするには、まず、「Mshtml.dll に関する Internet Explorer ActiveX 互換性修正プログラム(KB917425)」のページにアクセスする。
ページの下の方、太字で「ダウンロード情報」と書いてあるところまでスクロールし、利用しているOS用の「Internet Explorer 用互換性修正プログラム」をクリックし、マイクロソフトが運営するダウンロードセンターの当該ページにジャンプする。
たとえば、Windows XP SP2を選ぶと、ダウンロードセンターの「Internet Explorer 用互換性修正プログラム(Windows XP Service Pack 2 版)(KB917425)」ページにジャンプする。ここでダウンロードボタンをクリックすると、この互換性修正プログラムのWindows XP SP2用のファイル、「WindowsXP-KB917425-x86-JPN.exe」をダウンロードできる。
インストールを行なうには、このexeファイルを開いて実行する。ソフトウェア更新のインストールウィザードが表示されるので、画面の指示に従ってインストールすればOKだ。これで、Internet ExplorerはWindows Media PlayerなどのActiveX コンポーネントをページ中で表させても、妙なバルーンポップを表示せずに済むはずだ。
なお、今回、互換性修正プログラムこのインストール作業を行なったPCでは、ActiveXが以前と同様の動作で動くようになるが、その効果は6月の月例セキュリティ更新を行なうまでの間のみとなっている。6月のセキュリティ更新に含まれるInternet Explorerの累積アップデートではこのパッチを無効にする機能が含まれる予定になっているためだ。
6月までには、Webコンテンツ制作者は、Webコンテンツ側のほうに手を加えて、余分なクリックなしでもActiveXコンポーネントを利用できるページにしておいたほうがいいだろう。
■URL
Mshtml.dll に関する Internet Explorer ActiveX 互換性修正プログラム
http://support.microsoft.com/default.aspx/kb/917425
● MS06-014:Microsoft Data Access Components (MDAC) 機能の脆弱性
この「MS06-014」も、0-day Exploitがインターネット上で見つかった脆弱性に関するものだ。
この脆弱性を発見したfinjanによれば、MDACによって提供されているADO(ActiveX Data Object)のうち、RDS.Dataspaceオブジェクトに脆弱性が存在する。
このRDS.Dataspaceオブジェクトは、サーバからクライアントへのデータの転送やWebページで使われるものだが、たとえば、この機能の脆弱性を利用することで、Webページを表示させるだけで、PC内の任意のフォルダにWebからファイルをコピーする、というようなことができてしまうようだ。
このセキュリティ修正も早急にインストールしておくべきだろう。
■URL
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-014.mspx
● MS06-015:Windowsエクスプローラの脆弱性により、リモートでコードが実行される
英国の政府機関NISCCにより報告された問題で、こちらは、まだインターネット上には公開されていなかった脆弱性だ。ただし、リモートで任意のプログラムを実行できるため、深刻度「緊急」にランクされている。
これは、マイクロソフトのサイト情報によれば、「Windows ExplorerのCOM オブジェクトを処理する方法が原因で、Windows エクスプローラが実証コードを実行するための COM オブジェクトの使用を許可し、Windows Explorerにリモートでコードが実行される脆弱性が存在する」とされている。
ただし、残念ながら、NISCCのサイトにもこれ以上詳細な情報が公開されていないので、何を意味するものなのかいまひとつよくわからないのだが(Killbitを無効にするセキュリティホールなのか?)、いずれにせよ、「PCがWebを表示したときに、Windows Explorerを正しく機能させなくして、遠隔PCを完全に制御する」ということだ。
現在公開されている情報からは、微妙にわかるようなわからないようなセキュリティホールではあるが、いずれにしても、任意のコードを実行して、完全にPCを乗っ取ることができるセキュリティホールのようなので、確実に、パッチを利用して脆弱性を修正しておく必要があるだろう。
■URL
Windows エクスプローラの脆弱性により、リモートでコードが実行される (908531) (MS06-015)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-015.mspx
■関連記事
・ マイクロソフトの月例パッチ、複数あったIEの深刻な脆弱性に対応(2006/04/12)
( 大和 哲 )
2006/04/13 15:47
- ページの先頭へ-
|