Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

5月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトが、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報を5月14日に公開した。

 今月の修正パッチ内容としては、最大深刻度が最も深刻な“緊急”のものが3つ、4段階で下から2番目のレベルの“警告”が1つで、3月22日にセキュリティアドバイザリが公開された、Jetデータベースエンジンの脆弱性に対する修正も含まれている。

 それでは、今月の4件の修正パッチのうち、特に確認しておくべきと思われる2件について内容を見ていこう。


セキュリティアドバイザリで公開されたJetエンジンの脆弱性が修正

 公開された修正パッチのうち、3月に公開されたJetデータベースエンジンの脆弱性に対応するものが「MS08-028」だ。また、修正パッチのリリースと同時に更新されたセキュリティアドバイザリによると、MS08-028を適用するとともに、「MS08-026」もこれに関連して直ちにインストールすべき修正パッチだとされている。

 MS08-028のJetエンジンの脆弱性は、JetエンジンのDLLファイル「msjet40.dll」の文法解釈処理部分に問題が存在し、ある形式のMDBファイルを読み込んだ場合にスタックオーバーフローを引き起こす場合があり、結果として、第三者による任意のプログラムの実行を可能にしてしまうというものだ。

 脆弱性自体は、JetエンジンのDLLに存在しているのだが、セキュリティアドバイザリが公開されるきっかけとなったのは、この脆弱性をWord形式のファイルから悪用する方法が見つかったためだ。例えば、Outlookなどでは、「.mdb」ファイルのような直接データベースに働きかけるファイルの操作は、デフォルトでブロックされている。発見された攻撃は、これを回避することを狙って、Wordファイルに埋め込む方法を利用したと思われる。

 今回のセキュリティ更新では、Jetエンジン自体のスタックオーバーフローの修正をMS08-028で行なうとともに、今回の悪用のきっかけとなったWordについても、MS08-026で同時に仕様変更を行なったということのようだ。


Office製品で、他形式ファイルの読み込みをブロックする

 先ほど挙げたMS08-026のWordのセキュリティ更新では、
  • オブジェクトの解析の脆弱性 - CVE-2008-1091
  • WordのCascading Style Sheet(CSS)の脆弱性 - CVE-2008-1434

 という2つの脆弱性についても修正を行なっている。これら2つは、いずれもこれまで一般には非公開の脆弱性となっている。

 CVE-2008-1091の「オブジェクトの解析の脆弱性」は、特殊な細工をした.rtfファイル内で、本来ありえない文字列をWordが処理しようとした際に、必要なメモリ領域の計算を間違えてしまうためにメモリ破壊を引き起こし、結果として悪意の第三者に任意のプログラムの実行を許してしまうというものだ。

 CVE-2008-1434の「WordのCSSの脆弱性」は、Wordファイル内のCSS値が処理される時のメモリの処理のエラーにより、やはり悪意の第三者に任意のプログラムの実行を許してしまうというものだ。

 なお、マイクロソフトでは、Security Vulnerability Research & Defenseのブログなどで、改めてOfficeのファイルブロック機能の存在を紹介し、今回のような脆弱性にファイルブロック機能が有効であるとしている。

 Officeのファイルブロック機能は、2007年5月に「セキュリティアドバイザリ(937696)」で公開されたもので、Office製品において特定の形式のファイルの読み込みを禁止するという機能だ。

 マイクロソフトのOffice製品は、そのソフト用に作られているフォーマットのファイル以外にも、実に多種多様なファイル形式が読み込める。例えばWord 2007であれば、Word 2007のdocx形式、従来のdoc形式の他に、テキストファイルやリッチテキストフォーマット(.rtf)、HTML関係のファイルなども読み込んで編集することが可能だ。

 Word 2007/2003、Excel 2007/2003、PowerPoint 2007/2003では、これらのソフトがファイルを読み込む際に、特定の種類のファイルについては読み込みを禁止することが可能になる機能を備えている。これにより、古いファイル形式に脆弱性が見つかった場合などに、修正パッチが提供される前にファイルを開くことを防止することができる。


関連情報

URL
  マイクロソフト 2008年5月のセキュリティ情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx
  Microsoft Security Vulnerability Research & Defenseブログの該当記事(英文)
  http://blogs.technet.com/swi/archive/2008/05/13/file-block-and-ms08-026.aspx
  セキュリティアドバイザリ(937696)
  http://www.microsoft.com/japan/technet/security/advisory/937696.mspx
  Wordのファイルブロック機能
  http://support.microsoft.com/kb/922849/
  Excelのファイルブロック機能
  http://support.microsoft.com/kb/922848/
  PowerPointのファイルブロック機能
  http://support.microsoft.com/kb/922847/


( 大和 哲 )
2008/05/14 14:10

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.