 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
4月のマイクロソフトセキュリティ更新を確認する |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは9日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報を公開した。 修正パッチの内容は、最大深刻度が最も深刻な“緊急”のものが5つ、その次のレベルの“重要”が3つだ。 また、今月のWindows Updateによる更新では修正パッチのほか、Internet Explorer(IE)の動作変更に関するパッチも配布されている。これは、表示するWebページ中にAciveXがある場合に、「このコントロールをアクティブ化して使用するにはクリックしてください。」とポップアップ表示を行なう動作を変更するもので、特許権者の米イーオラス・テクノロジーズとライセンス締結で和解したことによる措置だ。 それでは、今月の8件のうち、特に確認しておくべきと思われる“緊急”の4件、“重要”の1件について内容を見ていこう。 ● MS08-021:GDIの脆弱性により、リモートでコードが実行される Windowsの画面表示機能の要となるGDI(Graphic Device Interface)についての修正パッチで、現行のほぼすべてのWindows(Windows Vista/XP/2000、Windows Server 2008/2003)について、以下の2件の脆弱性が見つかっている。最大深刻度はどちらも“緊急”だ。
「GDIのヒープオーバーフローの脆弱性」は、マイクロソフトによれば、ある整数計算の処理方法に問題があり、EMF画像ファイルおよびWMF画像ファイルを開いた場合に問題を引き起こすという。 特別な細工がされたEMFまたはWMF画像ファイルを、ユーザーが表示しようとした場合などに、データを展開する際に領域計算を間違い、計算用に確保したヒープ領域以外の部分を使用しようとして、メモリ破壊を起こすといった問題が起きるようだ。 「GDIのスタックオーバーフローの脆弱性」は、EMFファイル内のファイル名のパラメータを処理する方法に脆弱性が存在するというもので、不正なファイル名を使用したEMFファイルを読み込ませることで、読み込んだPC上で任意のプログラムの実行が可能になってしまう。 なお、EMF画像ファイルとは、Windows 3.1で使われていたWMF画像ファイルの仕様を拡張したもので、Windows 95以降で使用されている。攻撃者は、細工したEMFまたはWMF画像ファイルをWebサーバーに置いておくことで、閲覧しようとしたユーザーのPC上でプログラムを実行させるようなリモート攻撃が可能になる。 2件の脆弱性とも、攻撃者は閲覧したユーザーと同じ権限でプログラム実行が可能となるため、例えばAdministratorユーザーでWebを閲覧していた場合などは、完全にPCが乗っ取られる可能性もある脆弱性ということになる。 いずれも未公開の脆弱性で、公開されている情報も少ないため、すぐに悪用するのは難しそうだが、もし悪用できた場合には比較的使いやすい脆弱性だと思われる。現在、世界的にWebの改竄攻撃が増えているが、この脆弱性もそうした攻撃に利用される可能性があり、今後気を付けておきたい脆弱性だ。 なお、この「MS08-021」と「MS08-025」については、アンインストールを行なう際には手順に注意が必要だとされている。マイクロソフトのセキュリティチームのブログによれば、MS08-021とMS08-025は依存関係にあり、MS08-025をアンインストールすると、MS08-021も古い脆弱性のあるものに戻ってしまうということだ。この場合には、再度Windows Updateを適用する必要がある。 ● MS08-022:VBScriptおよびJScriptスクリプトエンジンの脆弱性により、リモートでコードが実行される SymantecのPeter Ferrie氏によって報告された、VBScriptおよびJScriptの難読化処理に関する脆弱性を修正する。Windows XP/2000、Windows Server 2003で深刻度“緊急”とされている。VBScriptやJScriptには、コードをエンコード(難読化)するための仕組みが備わっている。マイクロソフトが無料で配布している暗号化ツール「Windows Script Encoder」を使うと、HTMLファイル中のスクリプトが以下のような形に変換される。
脆弱性は、こうした難読化されたスクリプトを復号する際に、ある特殊な形式のデータによって意図しないコードが実行されてしまうというもの。受動攻撃には非常に使いやすそうな脆弱性だ。 この脆弱性情報は、これまで未公開だったこともあり、「特殊な形式」のデータがどのようなものなのかは公開されていない。そのため、この脆弱性を突く悪意のデータがどの程度見分けにくいものなのは不明だが、もし、通常のコードと似たような形式で悪意のデータを作ることができるのであればやっかいな問題となる可能性もある。難読化されたコードは、先頭の「#@~^DgAAAA==」と末尾の「AAA==^#~@」しか共通点がないからだ。 Windowsに必要なパッチを当てるのはもちろんだが、各アンチウイルスソフトが、この脆弱性を利用した悪意のデータをどのように検出できるのかにも、注意しておきたいところだ。 ● MS08-023:ActiveX Kill Bit用のセキュリティ更新プログラム このセキュリティ更新プログラムでは、Windowsに含まれるActiveXコントロール「Hxvz.dll」と、米Yahoo!が配布している「Yahoo! Music Jukebox」というソフトがIEから実行されないようにするためのKill Bit設定が含まれている。これまでは、Kill Bitの設定はIEの累積的修正パッチに含まれていたのだが、今後はIEそのものの脆弱性ではなく、本体にパッチを当てるものでもないということから、Kill Bit設定は別個に提供されるようだ。 Hxvz.dllは、MSヘルプエンジンのためのMicrosoft Help Visualsライブラリで、通常Windowsでは「C:\Program Files\Common Files\Microsoft Shared\Help」にインストールされている。こちらはこれまで未公開の脆弱性で、それほど一般に与える影響は大きくなさそうだ。 一方の、Yahoo! Music Jukeboxの脆弱性については、Secuniaなどが2月に「非常に重大なセキュリティ上の脆弱性」として公表している。マイクロソフトのセキュリティチームのブログによれば、Yahoo!からの要請に基づいてKill Bitを設定することになったようだ。 具体的には、Yahoo! Music Jukeboxに含まれるActiveXコントロール「mediagrid.dll」の、ビットマップファイルを扱う部分にバッファオーバーフローの脆弱性が存在する。これにより、ユーザーが悪意のあるWebサイトを訪問した場合に脆弱性を悪用される恐れがあり、最悪、PCを完全に乗っ取られる可能性がある。 Yahoo! Music Jukeboxは、日本のYahoo! JAPANのサービスには使えないため、日本のユーザーが利用しているケースはそれほど多くないと考えられる。インストールしている場合には、まずこの修正パッチを適用した上で、最新版のYahoo! Music Jukeboxをインストールすることを勧めたい。この脆弱性を攻撃する実証コードはすでに一般に公開されており、海外ではかなり知れ渡った脆弱性であるようなので、できるだけ早期にアップデートを行なうべきだろう。 ● MS08-024:Internet Explorer用の累積的なセキュリティ更新プログラム このセキュリティ更新プログラムでは、IEの「データストリーム処理のメモリの破損の脆弱性」を修正している。この脆弱性は、IEである形式のデータストリームを処理する際、例えばMIMEタイプが登録されていないというような場合に、メモリのいわゆる「解放後使用」という状態が引き起こされるというものだ。これにより、悪意の第三者は特殊なWebページを作成することで、そのページを表示したPCで任意のプログラムを実行させることができる。閲覧したユーザーと同じ権限でプログラムを動作させられるため、もし閲覧ユーザーがAdministrator権限を利用していた場合、PCを完全に乗っ取ることも可能になるようだ。 ● MS08-020:DNSクライアントの脆弱性により、なりすましが行われる Windows Vista/2000/XPおよびWindows Server 2003が対象のセキュリティ更新プログラムで、深刻度は“重要”。Windows Vista SP1およびWindows Server 2008は、この脆弱性の影響を受けない。この脆弱性は、DNSクライアントの通信において、トランザクションIDのランダム度が不十分だというもの。悪意の第三者によって、DNSクライアントのトランザクションIDに関する情報が取得された場合、DNSの応答に正しくないIPアドレスを指定されるなど、いわゆる「なりすまし攻撃」を行なうことができる脆弱性だ。 この脆弱性については、修正パッチを当てる以外の対応策が考えにくい。通信が傍受できてしまうような環境、例えば暗号化されていない無線LANや、ダムハブを使った有線LANでの接続で、もし、悪意の第三者がこの脆弱性を悪用することができた場合には、対応策がとりにくい脆弱性だ。幸いなことに、この脆弱性はこれまで一般には非公開の内容であり、すぐに悪用ができるとは考えにくい。ただし、もしも悪用方法が見つかった場合には問題となるだろう。 深刻度は、リモートコードが実行できないためか“重要”と低く設定されているが、問題のある脆弱性だと筆者は考える。確実にパッチを適用しておくべき脆弱性だろう。 関連情報 ■URL 2008年4月のセキュリティ情報(マイクロソフト) http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx ■関連記事 ・ マイクロソフトが4月の月例パッチ8件を公開、IEの累積的修正など(2008/04/09)
( 大和 哲 )
- ページの先頭へ-
|