Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

12月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは10日、月例のセキュリティ更新プログラム(修正パッチ)のリリースと、セキュリティ情報の公開を行った。

 今月は、最大深刻度“緊急”が6件、“重要”が2件のセキュリティ情報と修正パッチが公開されているほか、ワードパッドに関するセキュリティアドバイザリも同時に1件公開されている。ちなみに、11月の月例セキュリティ更新プログラムのリリースから今月までの間には、11月26日にActiveXのKill Bitの累積的なセキュリティ更新プログラムも公開されている。これに関しては、「マイクロソフトセキュリティアドバイザリ(953839)」で情報が公開されている。

 今月のセキュリティ情報には、8月にインターネット上に実証コードが公開され、悪用コードも作られた脆弱性が存在するほか、今後悪意のユーザーが類似の脆弱性を見つけるきっかけになりそうな情報も含まれている。修正パッチ自体はMicrosoft Updateなどで自動的に当てることができるが、公表されている情報にも目を通し、情報を知っておくことは、今後のセキュリティ対策に役立つだろう。

 それでは、今月は注目すべき4件のセキュリティ更新の情報と、同日に公開されたセキュリティアドバイザリの内容について見ておこう。


MS08-070:Visual Basic 6.0ランタイム拡張ファイル(ActiveXコントロール)の脆弱性により、リモートでコードが実行される(932349)

  • DataGridコントロールのメモリの破損の脆弱性 - CVE-2008-4252
  • FlexGridコントロールのメモリ破損の脆弱性 - CVE-2008-4253
  • 階層FlexGridコントロールのメモリの破損の脆弱性 - CVE-2008-4254
  • WindowsのコモンAVI解析のオーバーフローの脆弱性 - CVE-2008-4255
  • チャートコントロールのメモリの破損の脆弱性 - CVE-2008-4256
  • マスク編集コントロールのメモリの破損の脆弱性 - CVE-2008-3704

 MS08-070では、上記の6個の脆弱性に対応する。このうち「マスク編集コントロールのメモリの破損の脆弱性」は、8月頃からインターネット上に「Visual Studio (Msmask32.ocx) ActiveX Remote BOF PoC」という名前で実証コードが公開され、一般にもその内容が知られていたものだ。

 内容的には、Visual Basic 6.0に含まれる「MaskedEditコントロール」(Msmask32.ocx)の6.0.81.69以前のバージョンに存在しているメモリの境界条件エラーとなる(6.0.84.18以前のバージョンでも可能性あり)。実証コードでは、Internet Explorer(IE)でActiveXオブジェクトに「%0c」という文字列をパラメータとして大量に送るようなJavaScriptを実行させることで、バッファオーバーフローを起こし、Windowsをハングアップさせることができた。

 8月の段階で、セキュリティ企業のSecuniaや仏FrSIRTが、この脆弱性を「任意のコードを実行できる可能性がある」としてアドバイザリを公開し、IEでの実行を回避するためにKill Bitの設定を利用者に促していた。マイクロソフトの今回の発表では、「この脆弱性を悪用しようとする限定的な標的型攻撃を確認した」としているので、この脆弱性を突く悪意のプログラムが存在していたことを確認しているようだ。

 ちなみに、マイクロソフトが提供する今回のセキュリティ更新ではKill Bitの設定ではなく、ActiveXコントロールを使用した場合に、境界を確認してプロパティの値を検証し、脆弱性を修正したMsmask32.ocxを配布することで対応している。

 なお、8月にPoCコードが公開された時点では、脆弱性は古い製品であるVisual Studio 6.0に存在するとされていたが、実際には無料で再配布されている「Visual Basic 6.0ランタイム拡張ファイル」や、「Visual Studio .NET 2002 Service Pack 1」「Visual Studio .NET 2003 Service Pack 1」にも含まれていたということなので、改めて注意が必要だろう。

 特に、Visual Basic 6.0ランタイムは、フリーソフトやサードパーティのソフトでも利用しているケースがあるので、注意が必要だ。Visual Basic 6.0ランタイムは、一般的には「C:\Windows\system32」といったシステムフォルダにインストールされており、その場合にはMicrosoft Updateなどを適用することで対処できる。しかし、アプリケーションが独自のフォルダにランタイムを置いているような場合には自動的には対応できず、手動でファイルを更新する必要がある。


MS08-071:GDIの脆弱性により、リモートでコードが実行される(956802)

 Windowsの基本的な描画エンジンであるGDIの脆弱性で、最大の深刻度は「緊急」とされている。
  • GDIの整数オーバーフローの脆弱性 - CVE-2008-2249
  • GDIのヒープオーバーフローの脆弱性 - CVE-2008-3465

 上記2つの脆弱性への対応を含むセキュリティ更新だが、特に「GDIの整数オーバーフローの脆弱性」に関しては、最新のOSであるWindows Vista(64ビット版を含む)やWindows Server 2008でも深刻度が“緊急”とされている。

 脆弱性の内容としては、特別な細工がされたWMF画像ファイルを開くと、リモートでコードが実行される可能性があるというもの。それぞれ、WMF画像ファイル内にあるパラメータに関する数値の解釈の誤りと、WMF画像ファイル内の不正な形式のファイル名を不適切に処理する問題によりヒープオーバーフローが発生するために起こるとされている。


MS08-072:Microsoft Wordの脆弱性により、リモートでコードが実行される(957173)

  • Wordのメモリの破損の脆弱性 - CVE-2008-4024
  • WordのRTFのオブジェクトの解析の脆弱性 - CVE-2008-4025
  • Wordのメモリの破損の脆弱性 - CVE-2008-4026
  • WordのRTFのオブジェクトの解析の脆弱性 - CVE-2008-4027
  • WordのRTFのオブジェクトの解析の脆弱性 - CVE-2008-4030
  • WordのRTFのオブジェクトの解析の脆弱性 - CVE-2008-4028
  • WordのRTFのオブジェクトの解析の脆弱性 - CVE-2008-4031
  • Wordのメモリの破損の脆弱性 - CVE-2008-4837

 上記8つの脆弱性に対応するセキュリティ更新プログラムで、最大深刻度は最高レベルの“緊急”。特にWord 2000では、8件の脆弱性でいずれも深刻度が“緊急”とされている。また、最新のOffice製品である「Office 2007」に含まれる「Outlook 2007」でも、6件の脆弱性に関して深刻度が“緊急”となっている。無料で配布されているWord Viewerも含めて、Officeユーザーにとっては十分警戒が必要なセキュリティ更新であると言えるだろう。

 これらの脆弱性のうち、内容的によく似ているのが、WordのRTFのオブジェクトの解析の脆弱性「CVE-2008-4028」と「CVE-2008-4030」だ。いずれも、RTFを読み込んだり、リッチテキスト形式のメールを表示する場合に、パラメータの解釈を誤りメモリ破壊を起こすというものだ。

 いずれも非公開で報告された脆弱性ということで、マイクロソフトからは詳細な技術情報は公開されていないが、「CVE-2008-4028」に関してはZero Day Initiativeから、「CVE-2008-4030」に関しては発見者のTipping Pointから、ある程度公表されている。それによれば、CVE-2008-4028では描画をコントロールするワードである「\drawing」、CVE-2008-4030ではコントロールワード「\dpgroup」「\dpendgroup」の解釈に問題があり、ある特殊なパラメータを含んだこれらのコントロールワードタグがあった場合、バッファオーバーフローを起こすようなメモリ領域の計算ミスをするということだ。

 このレベルまで情報が公表されていれば、多少の知識があればそのようなRTFファイルを作ってWordで試してみることができる。RTFには多くのタグが存在するが、Wordにこれらのタグのパラメータの解釈に問題がないかどうか見つけ出そうと思えば、しらみつぶしに試してみることも可能だろう。

 今回は、3つのタグについて問題が見つかったが、おそらくはこれから先も、同じような問題が見つかることが容易に予想できる。それが悪意のユーザーによるものであれば、ゼロデイ攻撃に使われる可能性も否定できない。しばらくは、WordのRTFファイルの利用に関しては厳重な警戒が必要だろう。


MS08-076:Windows Mediaコンポーネントの脆弱性により、リモートでコードが実行される(959807)

 Windows Media PlayerとWindows Mediaサーバーに存在する、
  • SPNの脆弱性 - CVE-2008-3009
  • ISATAPの脆弱性 - CVE-2008-3010

という2つの脆弱性を修正するセキュリティ更新プログラムだ。最大深刻度は“重要”となっており、NTLM(NT Lan Manager)の認証処理時にパスワードなどを盗聴され、そのまま再利用されることでそのユーザーになりすまされる、いわゆる「反射攻撃」が可能な脆弱性だ。

 先月公開された「MS08-068:SMBの脆弱性(957097)」のように、ファイル共有やプリンタ共有の認証過程で反射攻撃が仕掛けられるのであればまだ理解しやすいのだが、Windows Mediaのような、一見ユーザー認証とはあまり関係のなさそうな機能でこのような脆弱性が見つかると、セキュリティに関心のあるユーザーでもなかなかピンとこないかもしれない。

 NTLMということで、基本的には攻撃が仕掛けられるとしてもLAN内からということになり、インターネットに接続していればどこからでも攻撃可能というようなケースに比べれば危険性は多少低いが、注意しておくべき脆弱性と言っていいだろう。


ワードパッドに関するセキュリティアドバイザリ(960906)も公開

 ワードパッドについて、修正パッチが提供されていない脆弱性を突いた限定的な攻撃が確認されたことから、マイクロソフトは調査を開始するとともに、セキュリティアドバイザリを公開した。

 この脆弱性は、Windowsに標準で含まれるアプリケーション「ワードパッド」のテキストコンバーターに存在するもの。影響のあるバージョンは、Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP2/SP1に含まれるワードパッド。これらのバージョンのワードパッドで、不正なWord 97ファイル形式のファイルを開いた場合にメモリ破壊が起き、任意のプログラムが実行される可能性があるとされている。

 回避策としては、アクセス制御リストを特定のコンバーターファイルに適用することによって、Word 97ファイル用のテキストコンバーターを無効化することが推奨されている。ただし、無効化を行った場合には、Word 97形式の文書をワードパッドで開くことはできなくなる。

 Word 97形式の文書ファイルは、一般的には「.doc」「.wri」「.rtf」といった拡張子を持つ。これらのファイルは、Officeがインストールされている場合にはOfficeで優先的に開かれるが、そうでない場合には標準ではワードパッドで開かれる。OfficeがインストールされていないPCにメールの添付ファイルなどで送られきた場合などに、悪意のプログラムが実行される危険性が考えられるので注意が必要だろう。


関連情報

URL
  マイクロソフト 2008年12月のセキュリティ情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx

関連記事
マイクロソフトが12月の月例パッチ公開、“緊急”6件を含む計8件(2008/12/10)
「ワードパッド」に脆弱性、修正パッチは未提供(2008/12/10)


( 大和 哲 )
2008/12/11 16:12

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.