Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

3月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは12日、Microsoft Updateによる月例セキュリティ更新プログラム(修正パッチ)とセキュリティ情報の公開を行なった。

 今月は最大深刻度“緊急”の4件が公開され、いずれもOfficeに関連するものだが、MS08-017に限ってはOffice以外のソフト、Visual Studio .NET 2002/2003やBizTalk Serverなども対象となる。また、ユーザーによっては、対象となるコンポーネントを個別にインストールしている可能性もあるので注意したほうがいいだろう。

 それでは、今月の修正パッチの内容を確認しておこう。


MS08-014:Microsoft Excelの脆弱性により、リモートでコードが実行される

  • Excelのデータの検証記録の脆弱性 - CVE-2008-0111
  • Excelのファイルインポートの脆弱性 - CVE-2008-0112
  • ExcelのSTYLEレコードの脆弱性 - CVE-2008-0114
  • Excelの式解析の脆弱性 - CVE-2008-0115
  • Excelのリッチテキストの検証の脆弱性 - CVE-2008-0116
  • Excelの条件付きフォーマットの脆弱性 - CVE-2008-0117
  • マクロ検証の脆弱性 - CVE-2008-0081

 上記7つの脆弱性に対するセキュリティ更新で、いずれの脆弱性もリモートコード実行が可能な脆弱性だ。多くのバージョンのExcelやExcel Viewerが対象となっているが、脆弱性に関してはExcel 2000が最も深刻で、7つのすべての脆弱性に関して「深刻度:緊急」となっている。早急かつ確実なパッチの適用が必要だろう。それ以降のバージョンのExcelにもいくつかの脆弱性があり、最新のExcel 2007についても「Excelのデータの検証記録の脆弱性」「Excelの式解析の脆弱性」が存在している。

 これら7つの脆弱性のうち、最も問題なのは「マクロ検証の脆弱性」だろう。Excel 2003/2002/2000およびExcel Viewer 2003のマクロ情報検証部分に問題があり、マクロ情報として特殊な値を書き込んだExcelファイルを開くと、バッファオーバーフローを引き起こす可能性があるというものだ。

 この脆弱性に関しては、1月にマイクロソフトからもセキュリティアドバイザリ(947563)として情報が公開されており、MOICE(Office 2003のファイルを新しいOffice 2007のOpen XMLフォーマットに変換するツール。ファイルから攻撃コードを取り除く効果がある)による回避方法などが知らされていたが、今回、根本の原因となるExcelへのパッチが配布されることとなった。

 既に情報が一般にインターネット上などでも知られており、この脆弱性を使ってPCを不正に操作する「OLYMPIC.XLS」「SCHEDULE.XLS」といった悪意のExcelファイルが出回るなど、実際に悪用もされたことが確認されている脆弱性なので、いずれのバージョンのExcelを使っている場合も至急適用が必要だろう。


MS08-015:Microsoft Outlookの脆弱性により、リモートでコードが実行される

 Outlookに存在する脆弱性で、Office 2000に含まれるOutlook 2000以降、すべてのバージョンのOutlookが対象だ。最新のOffice 2007に含まれるOutlook 2007まで、すべてのバージョンのOfficeで深刻度“緊急”とされており、すべてのOfficeユーザーにとって注意が必要な脆弱性だろう。

 脆弱性の内容としては、Outlookが特殊な形式の「mailto:」URLを渡された場合、その解釈に問題があるというものだ。

 通常、Outlookに「mailto:メールアドレス」形式のURLが渡された場合、そのメールアドレス宛に送るメールの内容を編集するための編集画面が表示される。この脆弱性が存在するOutlookでは、ある特殊な形式で書かれたmailto:をクリックすると、Outlookのメール編集画面が表示されるのではなく、任意のプログラムが実行される。悪意の第三者がこの脆弱性を悪用した場合、任意のプログラム(例えばボットの感染を引き起こすような)をメールを読んだユーザーのPC上で実行させることができるわけだ。

 ショッピングサイトやポイントサイトからのメールを装って悪意のプログラムを実行させようとする、あるいはフィッシングなどに応用が可能となりそうな内容の脆弱性だが、幸い、この脆弱性はこれまで情報未公開のもので、現在も最低限の情報しか公開されていない。すぐに悪用が可能とは考えにくいが、もし具体的なURLの情報が知られた場合、非常に広い範囲で悪用がしやすそうだ。いずれのバージョンのOfficeユーザーも、メールソフトにOutlookを使っているのであれば、十分警戒をしておくべき脆弱性情報だろう。


MS08-016:Microsoft Officeの脆弱性により、リモートでコードが実行される

  • Microsoft Officeのセルの解析の脆弱性 - CVE-2008-0113
  • Microsoft Officeのメモリの破損の脆弱性 - CVE-2008-0118

 MS08-016は、上記2つの脆弱性を修復するセキュリティ更新だ。

 「Microsoft Officeのセルの解析の脆弱性」は、Excel Viewer 2003およびExcel Viewer Service Pack 3にのみ存在し、深刻度は重要となっている。これまで情報未公開だったものだ。

 この脆弱性は、特別な細工がされたExcelファイルを処理する方法に問題があり、Excelファイルを表示する際に、特殊なファイルを使うとメモリ割り当てのエラーを引き起こし、任意のプログラムを実行できる可能性がある。

 一方、「Microsoft Officeのメモリの破損の脆弱性」の方は、Office 2003(SP2)/XP(SP3)/2000(SP3)およびOffice 2004 for Macが対象となっている。Office 2000の場合のみが深刻度“緊急”で、それ以外は“重要”となっている。

 詳細は不明だが、「Microsoft Officeのセルの解析の脆弱性」と同様、Officeファイルを表示する際にメモリの割り当てを誤り、任意のコードが実行可能になるような方法でシステムメモリ破損が引き起こされる。

 どのような種類のファイルで引き起こされるのかさえ公表されていない脆弱性情報で、全く技術的な点は不明といっていい内容のため、この情報だけでは悪用は不可能だろう。

 なお、このMS08-016のセキュリティ更新は、マイクロソフトの「日本のセキュリティチーム」のブログによれば、

Office 2003 SP3は影響を受けないのですが、Microsoft Updateによって、Office 2003 SP3環境にも更新プログラムが展開されます。 これは、セキュリティ更新に含まれているモジュールが、Office 2003 SP3のモジュールバージョンよりも新しいためです。手動や他の更新システムで配信する場合は、Office 2003 SP3に対して配信する必要はありません。

とのことなので、WSUS管理者などを担当している場合は、頭の隅に入れておくといいかもしれない。


MS08-017:Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される

  • Office WebコンポーネントのURLの解析の脆弱性 - CVE-2006-4695
  • Office Webコンポーネントのデータソースの脆弱性 - CVE-2007-1201

 上記2つの脆弱性を含むセキュリティ更新で、「Office Webコンポーネント」が対象だ。いずれもリモートコード実行が可能な脆弱性で、深刻度は“緊急”となっている。

 Office Webコンポーネントとは、HTML形式で保存するExcelのグラフやスプレッドシート、ピボットテーブルに、対話機能を追加するためのコンポーネントのことだ。Office XP/2000、Visual Studio .NET 2003/2002、BizTalk Serverなどに含まれるほか、マイクロソフトのOfficeツールサイトからダウンロードして個別にインストールすることも可能だ。

 Office XP/2000をインストールしていないユーザーに対しても、Office WebコンポーネントのWebページデータを利用させるときなどに、この方法でインストールさせている場合もある。OfficeやVistal Studio .NETを利用していないユーザーでも、注意をする必要があるだろう。

 脆弱性の内容だが、「Office WebコンポーネントのURLの解析の脆弱性」は、これまで未公開の脆弱性で、このOffice WebコンポーネントがURLを解釈する際のメモリ管理に問題があるというものだ。このため、ユーザーが、特別な細工を行なったURLを含むWebページを表示させた場合に、任意のコードをPC上で実行されてしまう可能性がある。受動攻撃などに悪用が可能な脆弱性だ。

 また、「Office Webコンポーネントのデータソースの脆弱性」もやはり未公開の脆弱性で、同様にOffice Webコンポーネントの実行コマンドを解釈する際のメモリ管理に問題があり、ユーザーが特別な細工を行なったWebページを表示させた場合に、任意のコードをPC上で実行されてしまう可能性があるというものだ。

 いずれも未公開の脆弱性情報で、これまで悪用された実績もなく、情報の少なさから悪用はしにくいと考えられる。ただし、万一悪用された場合には、Officeユーザーだけでなく個別にコンポーネントをインストールしたユーザーも対象となり、被害の範囲が広がることが予想される。警戒を要すべき脆弱性情報だと言えるだろう。

関連情報

URL
  2008年3月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx
  日本のセキュリティチーム(Japan Security Team)のブログ
  http://blogs.technet.com/jpsecurity/

関連記事
マイクロソフトが3月の月例パッチ4件を公開、いずれもOffice関連の修正(2008/03/12)
北京五輪関連のファイルを装い、Excelの未修正の脆弱性を悪用するウイルス(2008/03/11)


( 大和 哲 )
2008/03/12 21:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.