Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

10月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは11日、月例のMicrosoft Updateによるセキュリティ更新プログラム(修正パッチ)のリリースとセキュリティ情報の公開を行なった。

 今月のセキュリティ更新では、新規にリリースされたものが10件ある。うち6件が、深刻度「緊急」にランクされており、0-day攻撃に使われ、セキュリティアドバイザリで事前に情報が公開された脆弱性3件も含まれている。できるだけ速やかに、システムに適用すべきだろう。

 緊急とされているのは、具体的にはMS06-057~062の6件だ。今月は最大深刻度「緊急」のこれら6件について内容を確認する。


MS06-057:Windows Explorer の脆弱性により、リモートでコードが実行される(923191)

 この脆弱性は、CVEにも、CVE-2006-3730として登録され、情報が公開されていた。10月3日には、マイクロソフトよりセキュリティ アドバイザリ(926043)としても報告されている。なお、CVEとは、Common Vulnerabilities and Exposuresの略で、オープンソースも含めたソフトウェア製品の脆弱性について、一意に識別するために付与した名前を指す。サイトURLは< http://www.cve.mitre.org/ >。すべて英文のサイトだが、CVEのリストのダウンロードや、CVEの名前による検索などが可能だ。

 さて、「MS06-057」は、任意のプログラムをリモート上のPC上で実行させることが可能となるという脆弱性で、すでに複数の悪意のあるサイトにおいて、Webを表示したPCにトロイの木馬を読み込ませるのに使われていることも報告されている。

 最大深刻度は「緊急」とされている脆弱性は、当然すべて緊急を要するものなのだが、「MS06-057」については、中でも特に、大至急、セキュリティ更新プログラムの適用を行ない、警戒すべき脆弱性と言ってよいだろう。

 「MS06-057」は、Windows Explorerの入力パラメータの検証に問題があり、WebViewFolderIcon ActiveX コントロール(Web ビュー)オブジェクトを作成して、setSlice()メソッドに不正な引数を与えると、Common Controlsライブラリ「comctl32.dll」実行中に、エラーを起こし、スタック上に任意のデータを残して実行する――いわゆるバッファオーバーフロー攻撃に利用される脆弱性だ。

 この脆弱性は、7月にH.D. Moore氏というセキュリティ研究者が、毎日1つずつInternet Explorerの脆弱性を公開した際に公開されたもののひとつだ。FrSIRTなどが危険度が最も高い「Critical」な脆弱性として警告していたものの、その時点では、ブラウザが落ちるDoS攻撃が可能なコンセプト実証コードしか公開されていなかった。

 しかし、この脆弱性がバッファオーバーフローによるものであることや、どの機能を利用した場合に起こるかなどの情報がわかっていたために、公開後に他の研究者やハッカーたちによる解析が進み、9月下旬には、任意のコードが実行可能なExploitコードが公開されていた。

 さらに、いくつかの悪意があるWebサイトがIFRAMEタグを利用して、Web内にこの脆弱性を利用するようなページを作成し、トロイの木馬を閲覧者に送りつけたことも確認されて、各セキュリティ調査会社などからもウイルスなどへの悪用が警告されていた。

 Windowsや、Interenet Explorerといった、マイクロソフトのアプリケーションの多くは多機能でサイズも大きく、構造も複雑で、脆弱性を解析するのは容易ではないことは理解できるのだが、しかし、この問題については、7月に発見されてから早めに対処できていれば、これほど危険な脆弱性として扱う必要もなく済んだ可能性があると筆者は思う。この例を反省の材料として、H.D. Moore氏による「毎日1つ公開されたIEの脆弱性」などでまだ残されているものなど、未解決の脆弱性に対応していただきたいと思う。


MS06-058:PowerPointの脆弱性により、リモートでコードが実行される(924163)

 「MS06-058」は、以下4つのPowerPointの脆弱性に対応している。

・PowerPoint の不正な形式のオブジェクト ポインタの脆弱性- CVE-2006-3435
・PowerPoint の不正な形式のデータ レコードの脆弱性- CVE-2006-3876
・PowerPoint の不正な形式のレコード メモリの破損の脆弱性- CVE-2006-3877
・PowerPoint の不正な形式のレコードの脆弱性- CVE-2006-4694

 いずれもリモートでコードが実行される脆弱性で、最初の1つはPowerPoint 2003にのみ存在し、他の3つはPowerPoint 2000/2002/2003、PowerPoint 2004 for Mac/v.X for Macに脆弱性が存在しており、後の3つは、PowerPoint 2000では、「緊急」とされる深刻度の高いものとなっている。

 「PowerPoint の不正な形式のオブジェクト ポインタの脆弱性- CVE-2006-3435」は、TippingPointのArnaud Dovi氏によって発見された。PowerPointのスライドノートに不正な形式のデータを書いておくと、PowerPointが、スライドノートがおかしい旨エラー表示を行なうが、その際に、内部にデータオーバーフローを起こすという内容だ。

 また、最後の「PowerPoint の不正な形式のレコードの脆弱性- CVE-2006-4694」は、詳細は不明だが、McAfeeなどによって、0-day攻撃に使用されていることが指摘された脆弱性だ。

 9月に、マイクロソフトもセキュリティ アドバイザリ(925984)「Microsoft PowerPoint の脆弱性により、リモートでコードが実行される」で情報が公開していた。

 情報があまり公開されていないので、詳しいことがわからない(McAfeeなどによれば感染リスクは低いとされている)のだが、0-day攻撃に使われた脆弱性でもあり、至急、適用しておくべきセキュリティ更新プログラムと考えておくべきだろう。


MS06-059:Excelの脆弱性により、リモートでコードが実行される(924164)

 このセキュリティ更新プログラムは、以下のいずれもExcel 2000で深刻度「緊急」とされる、4つのExcelのリモートでコードが実行される脆弱性に対応している。

・Microsoft Excelの不正な形式のDATETIMEレコードの脆弱性 - CVE-2006-2387
・Microsoft Excelの不正な形式のSTYLEレコードの脆弱性 - CVE-2006-3431
・Microsoft ExcelのLotus 1-2-3ファイルの処理の脆弱性 - CVE-2006-3867
・Microsoft Excelの不正な形式のCOLINFOレコードの脆弱性 - CVE-2006-3875

 脆弱性の表題からわかるように、CVE-2006-2387、CVE-2006-3431、CVE-2006-3875はExcel内のDATETIMEレコード、STYLEレコード、 COLINFOレコードでの値のチェックに問題があり、不正な値を登録しておくと、特にExcel2000の場合は、任意のコードを実行させることができてしまう。

 特に、CVE-2006-3431のSTYLEレコードの脆弱性に関しては、Exploitコードが公開されていた経緯もあり(悪用されたという報告はこれまでないようだが)、警戒しておく必要がある。

 また、CVE-2006-3867は、ExcelでLotus 1-2-3のファイルを読み込ませた際に、内容のチェックに問題があり、その中に書かれたプログラムを実行するような不正なデータ形式のデータを書くことができるようになっているという脆弱性だ。

 この脆弱性もやはり、Exploitコードの存在が確認されていることから、至急、適用を行なうべきセキュリティ更新プログラムであると考えておくべきだろう。


MS06-060:Word の脆弱性により、リモートでコードが実行される(924554)

 Mac用Wordを含むWordの、以下の4つのリモートコード実行脆弱性を解決するセキュリティ更新プログラムだ。

・Microsoft Wordの脆弱性 CVE-2006-3647
・Microsoft Wordの差し込み印刷の脆弱性 CVE-2006-3651
・Microsoft Wordの不正な形式のスタックの脆弱性 CVE-2006-4534
・Mac 用 Microsoft Wordの脆弱性 CVE-2006-4693

 このうち、「Microsoft Word の不正な形式のスタックの脆弱性 CVE-2006-4534」は、この4つの脆弱性には、0-day攻撃に使われ、マイクロソフトも事前にセキュリティ アドバイザリ(925059)「Microsoft Word の脆弱性により、リモートでコードが実行される 」で情報を事前に公開されていた脆弱性も含まれている。当然、最大深刻度 : 緊急となっている。

 この脆弱性は、トロイの木馬プログラムを読み込むためのドロッパープログラムに実際に悪用されていたものが発見されたというものだ。その性質からか、技術的な情報は明らかになっていないのだが、その発見の経緯だけでも、警戒し、早急にセキュリティ更新プログラムの適用をしなければならない情報だと考えるべきだろう。


MS06-061:MSXMLコアサービスの脆弱性により、リモートでコードが実行される(924191)

 Microsoft XML コアサービス、つまりMSXMLの脆弱性だ。

 このセキュリティ更新プログラムでは、MSXML 2.6/3.0/4.0/6.0に影響を及ぼす以下2つの脆弱性に対応している。

・Microsoft XML コア サービスの脆弱性 - CVE-2006-4685
・XSLT のバッファ オーバーランの脆弱性 - CVE-2006-4686

 「Microsoft XML コア サービスの脆弱性 - CVE-2006-4685」は、サーバからのリダイレクトの要求を解釈する部分に問題があるために、情報漏えいが起こる可能性があるという内容だ。

 一方、「XSLT のバッファ オーバーランの脆弱性 - CVE-2006-4686」は、XMLによって記述された文書を他のXML文書に変換するための簡易言語「XSLT」の解釈プログラムに問題があり、こちらは、不正なコードを読み込んだ場合に、任意のプログラムを実行してしまう可能性もあるという、深刻度の高い脆弱性だ。

 いずれの脆弱性も事前に情報が公開されることなどはなく、悪用されている兆候もないが、深刻度が高い問題ではあるので、セキュリティ更新プログラムを適用しておくべきだろう。

 なお、MSXMLは、マイクロソフトが提供するXMLパーサで、Internet Explorer 6にはデフォルトでMSXML 3.0 相当のXMLコアサービスが標準で組み込まれている。つまり、最新のOS、ブラウザを使っている多くのユーザーがこの脆弱性の影響を受けることになるので、注意が必要だ。


MS06-062:Microsoft Officeの脆弱性により、リモートでコードが実行される(922581)

 Office 2000、Office XP、Office 2003、Office 2004 for Mac および Microsoft Office v. X for Macに影響のあるセキュリティ更新プログラムで、以下に挙げる4つの脆弱性に対する修正を含んでいる。

・Office の不適切なメモリ アクセスの脆弱性 - CVE-2006-3434
・Office の不正な形式のグラフ レコードの脆弱性 - CVE-2006-3650
・Office の不正な形式のレコード メモリの破損の脆弱性 - CVE-2006-3864
・Microsoft Office のスマート タグ解析の脆弱性 CVE-2006-3868

 特に、CVE-2006-3650、CVE-2006-3864は、Office 2000で深刻度が緊急となっている脆弱性なので、今でもOffice 2000を使っているユーザーは、至急セキュリティ更新プログラムの適用が必要だろう。

 また、CVE-2006-3868に関しては重要度はそれほど高くないものの、脆弱性の存在自体は以前から知られていたもののようだ。対象は、Office XP、Office2003のみで深刻度「重要」とされている問題なのだが、警戒はしておくべきだろう。


関連情報

URL
  2006年10月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms06-oct.mspx
  マイクロソフト セキュリティ ホーム
  http://www.microsoft.com/japan/security/

関連記事
マイクロソフト、10月の月例パッチ10件を公開(2006/10/11)


( 大和 哲 )
2006/10/12 16:25

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.