マイクロソフトは15日、月例のMicrosoft Updateによるセキュリティ更新プログラム(修正パッチ)のリリースとセキュリティ情報の公開を行なった。今回は、新規公開6件、更新0件と件数自体は少ないものの、そのうち5件が深刻度「緊急」にランクされている。
今回は、実際にインターネット上で悪用されたことから存在が明らかになった脆弱性、0-day攻撃に使われセキュリティアドバイザリで事前に情報が公開された脆弱性の修正が含まれている。今月のセキュリティ更新は、できるだけ速やかに、そして確実に適用すべきものばかりで、企業内などでは適用が徹底されるよう注意が必要だ。
以下では、最大深刻度「緊急」とされているセキュリティ更新5件について内容を確認しよう。
● MS06-067:Internet Explorer 用の累積的なセキュリティ更新プログラム(922760)
Internet Explorer 6と、Windows 2000上のInternet Explorer 5.01 SP4が対象となる、セキュリティ更新プログラムだ。
内容的には、以下の2つの脆弱性に対応している。いずれもWindows XP SP2上のInternet Explorer 6、Windows 2000 SP4上のInternet Explorer 6 SP1では深刻度「緊急」の脆弱性だ。
・DirectAnimation ActiveX コントロールのメモリの破損の脆弱性 - CVE-2006-4446および、CVE-2006-4777
マイクロソフトセキュリティアドバイザリMicrosoft DirectAnimation パスの ActiveX コントロールの脆弱性により、リモートでコードが実行される(925444)で事前の警告がされていた脆弱性だ。
Direct Animation ActiveX コントロール(daxctle.ocx)が実装を提供しているDirectAnimation.PathControlで、メモリの管理にバッファオーバーフローを起こす問題が存在しており、この脆弱性を悪用することで、閲覧するだけで任意のコードをリモート上のPCに実行させることが可能だ。
HTML レンダリングのメモリの破損の脆弱性 - CVE-2006-4687
詳細は明らかにされていないが、特殊な形のレイアウト配置を指定したHTMLをInternet Explorerに読み込ませることで、任意のコードをPCに実行させることが可能になるという。アクティブスクリプトのない場合にも悪用される可能性は否定できず、また、アクティブスクリプトを使用することで、悪用される可能性が非常に高くなる、ということなので、スクリプトではない、非常に基本的なタグの解釈に問題があった可能性も考えなければならないだろう。
2つの脆弱性のうち、後者に関しては一般には知られておらず、マイクロソフトと発見者のみが詳細を知る脆弱性だ。これに対し、前者の脆弱性に関してはすでに8月と9月にそれぞれ実証コードが公開されているほか、この脆弱性を悪用するWebページもいくつか発見されている。
非常に危険な脆弱性であり、大至急、適用の必要があるセキュリティ更新プログラムであるといえるだろう。
● MS06-068:Microsoft エージェントの脆弱性により、リモートでコードが実行される(920213)
Officeの「イルカのヘルプ」などで使われている、Windowsのアニメーションを使ったインタラクティブなヘルプ機能、Microsoft エージェントの脆弱性で、最大深刻度「緊急」の問題だ。
Agentで、キャラクタデータであるacf形式を処理する際のメモリ管理部分にバッファオーバーフローのに問題があり、特殊なデータを埋め込んだacf形式ファイルを読み込ませることで、PCを完全に乗っ取ることができる。
Windows XP Service Pack 2、Windows 2000 Service Pack 4、Server 2003のいずれのOS上のエージェントでも問題が発生する。
Internet ExplorerでWebページを閲覧している場合、この脆弱性を悪用したページを表示していしまうと、リモートでPCを乗っ取られる可能性もある。
ただし、Internet Explorer 7を使用している場合は、インターネット ゾーンの ActiveX のオプトインの機能により、MS エージェントの ActiveX のコントロールが有効にされるまで影響を受けることはないようだ。
情報が公開されている脆弱性ではないのですぐさま悪用の危険があるわけではないが、WindowsがインストールされたPCであれば、どの機械にも存在すると言っていい脆弱性だ。確実にを適用しておく必要があるセキュリティ更新プログラムだろう。
● MS06-069:Adobe の Macromedia Flash Player の脆弱性により、リモートでコードが実行される(923789)
Adobe の Macromedia Flash Player で8.0.24.0以前バージョンの脆弱性を解決するセキュリティ更新だ。
CVEには、CVE-2006-3311、CVE-2006-3014、CVE-2006-3587、CVE-2006-3588、CVE-2006-4640として登録されている5つの脆弱性を解決する。
なお、CVEとは、Common Vulnerabilities and Exposuresの略で、オープンソースも含めたソフトウェア製品の脆弱性について、一意に識別するために付与した名前を指す。サイトURLは< http://www.cve.mitre.org/ >。すべて英文のサイトだが、CVEのリストのダウンロードや、CVEの名前による検索などが可能だ。
そのうちのひとつは、英国のセキュリティコンサルタント会社Computer Terrorism (UK) Ltdが発見した脆弱性で、内容としては、Player内のある機能で、文字列のバッファ管理に問題があり、たとえば、ActiveScriptで作られた非常に大きな文字列などを操作する際に、オーバーフローを起こし、任意のコードを実行させることができ、PCを完全に乗っ取ることも可能、というものが含まれる。
この脆弱性に関しては、9月の段階で開発元のAdobeではセキュリティ速報 APSB06-11としてこの問題を公開しており、同社のサイトから最新版のPlayerにアップデートしている場合には、すでに脆弱性が解決されていることになる。
多くのユーザーで解決済みだろうが、このセキュリティ更新を適用し、念のために、現在使っているもう一度Flash Playerのバージョンも確認しておくといいだろう。
● MS06-070:Workstation サービスの脆弱性により、リモートでコードが実行される(924270)
Workstationサービスは、ファイル共有やネットワーク印刷機能で利用される基本的なサービスだ。
今回のセキュリティ更新プログラムで解決される脆弱性は、このサービスのメモリ管理に関する問題で、Windows 2000 Service Pack 4は深刻度「緊急」、Windows XP Service Pack 2で注意、とされている。悪意のユーザーは特殊なデータをこれらの機能を利用する際に送ることで、特にWindows 2000では、PCを完全に乗っ取ることも可能となる。
悪意の攻撃側がLAN内に存在するのでない限り、利用しにくい脆弱性なので、それほど大きな脅威ではないが、Windows 2000ユーザーは念のため、確実にインストールしておくべき脆弱性だろう。
● MS06-071:Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される(928088)
11月4日公開のマイクロソフトセキュリティアドバイザリ (927892) XML コアサービスの脆弱性により、リモートでコードが実行されるで事前に通知されていた脆弱性に関する、更新プログラムだ。
XMLコアサービスに含まれる、XMLHTTP ActiveX コントロールの終了方法に問題があり、Internet Explorerからこのコントロールを呼び出し、想定外のデータを引数として渡した場合、終了時にInternet Explorerがコードを実行してしてから異常終了する可能性がある。
このセキュリティホールは、この脆弱性を悪用したWebページを、PC上のブラウザで表示させると、そのPCを完全にのっとることが可能なものだ。
インターネット上で、この脆弱性を利用し、PCに悪意のプログラムを送り込むWebページが見つかり、そこから、この脆弱性の問題が明らかになった。
そのWebページの内容などをもとに、脆弱性の存在を実証するコードも複数公開されている。デンマークのセキュリティ会社Secuniaなども「MS06-071」の危険度を5段階で最も高い“Extremely critical”としているなど、非常に危険な状況にあると考えるべき脆弱性だろう。
問題のXMLコアサービスはWindows XP/2000、Windows Server 2003上にインストールされたMicrosoft XMLコアサービス 4.0/6.0だ。Internet Explorer 6にデフォルトで添付されているXMLコアサービスのバージョンは3なので、全てのユーザーが危険にさらされているわけではない。
しかし、該当するバージョンのXMLコアサービスを使ったWebサービスの利用歴があるだけで、自動的にブラウザにインストールされているケースなどもあり、ユーザーが知らないうちに脆弱性を持ったバージョンのサービスを使っている可能性もある。至急、かつ、確実に塞いでおくべき危険な脆弱性で、企業内などでは適用を徹底すべきだろう。
関連情報
■URL
2006年11月のセキュリティ情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-nov.mspx
マイクロソフト セキュリティ ホーム
http://www.microsoft.com/japan/security/
■関連記事
・ MSが11月の月例パッチ6件を公開、IEの累積的修正など“緊急”が5件(2006/11/15)
( 大和 哲 )
2006/11/15 15:16
- ページの先頭へ-
|