マイクロソフトは18日未明、毎月の月例セキュリティ更新プログラム(修正パッチ)とは別に、緊急の修正パッチを公開した。今回リリースされた「MS08-078」は、現在ゼロデイ攻撃に使われているInternet Explorer(IE)の脆弱性「ポインター参照のメモリ破損の脆弱性(CVE-2008-4844)」に対応するものだ。
この脆弱性は、Webサイトを訪れたPCにトロイの木馬などをインストールさせるための攻撃に利用されていることが各所で報告されている。マイクロソフトでも12月11日に、セキュリティアドバイザリを公開し、回避策などの情報を提供していた。
回避策は、修正パッチがリリースされるまでの間の暫定的な対処方法で、適用することで副作用も存在するものだったが、今回、根本的な対策であるパッチ配布が行われることになったわけだ。
今回の脆弱性を利用した攻撃は、ユーザーがWebページを閲覧することで悪意のファイルが読み込まれ、ウイルスなどがインストールされる。攻撃用のWebページが仕掛けられているサイトは現在のところ、中国のサイトなどに限られていて、日本の一般的なユーザーが標的となる可能性は小さかった。ただし、数日前から、この攻撃コードがSQLインジェクション攻撃を利用して、広範囲のサーバーにばらまかれつつあることが報告されており、いつまでも狭い範囲に収まるとは考えにくい状況だ。
また、今回は脆弱性の技術情報などが詳細に知られているため、そもそも悪意のコードが日本を含めて他の国に転用される可能もある。今後に関して言えば、パッチを適用しなかった場合には、一般ユーザーが被害に遭う可能性が十分高いと考えられる脆弱性だ。
マイクロソフトが緊急でリリースを行ったことからもわかるように、この「MS08-078」については内容を早急に確認し、確実に適用すべきだろう。
なお、通常月例で行われるマイクロソフトのセキュリティ更新が、緊急でリリースを行ったのは今年に入って2件目。10月24日の「MS08-067」以来だ。その前は2007年4月4日に公開された「MS07-017」だった。
● いくつものバージョンのエクスプロイト、悪意のコードが公開されている
|
公開されているエクスプロイトコードを実行させた例。IEがステータスバーに「データバインドを行っています...」と表示したまま暴走し、悪意のユーザが用意したプログラム(この実証例では「電卓」)を実行させることが可能となる
|
MS08-078が修正する脆弱性「ポインター参照のメモリ破損の脆弱性 - CVE-2008-4844」をもう少し詳しく見ておこう。
この脆弱性は、マイクロソフトの発表によればIE5.01、IE6、IE6 SP1、IE7について深刻度が最も高い“緊急”とされている。また、IE8 Beta 2にも影響があるとされている。
今回の攻撃では、まずIE7を攻撃する悪意のコードが存在していることが確認され、その後、攻撃コードをまねてWindows XP用のIE7で動作するエクスプロイトコードが脆弱性の存在を実証するために作られた。さらに、エクスプロイトコードはVista上のIE7上でも動くものが作られ、現在ではサポートされているすべてのOS・IE上で動作するコードが公開されている。
脆弱性の内容としては、デフォルトで有効となっているデータバインディングをIEが行おうとした場合、特定の状況においてオブジェクトが配列の長さを更新せずにリリースされる問題があり、結果としてポインタが不正な箇所を指してしまい、削除されたオブジェクトのメモリ空間にアクセスできる可能性がある、というものだ。原因自体は「Use After Free」エラーという、技術的にはありふれたものということだ。
公開されたエクスプロイトコードや攻撃に使われたコードでは、削除されたオブジェクトのメモリ空間をはじめとして、データスプレーと呼ばれる方法でメモリの多くの箇所にプログラムの断片を散布しておき、削除された空間にアクセスして暴走を始めたプログラムカウンタの挙動を捉え、悪意のユーザーが用意した任意のプログラムに実行を移させるようになっていた。
今回の修正パッチでは、この「データバインディングの不正なメモリリリース」部分が修正されている。これによって、Windowsが悪意のあるWebデータを表示しても、スプレーされた悪意のコードのトラップまで実行が進まないような修正がされている。
● 「回避策」を元に戻すのを忘れずに
|
Windows Updateによるパッチの説明。緊急だったためか、英語表記のままになっている。KB番号などを確認して適用するようにしよう
|
今回の修正パッチはWindows UpdateやMicrosoft Updateで提供が開始されているが、今回は緊急リリースであるためか、パッチの説明が一部英文のまま訳されていない箇所などが存在しているようだ。
カスタムで適用する場合は、修正パッチの表記が「Security Update for Internet Explorer 7 for Windows XP(KB960714)」など、今回配布された修正パッチの内容である「KB960714」であることを確認しておこう。
また、これまでのセキュリティアドバイザリなどでは、回避策としてOLEDBの無効化などの方法を取ることが推奨されていたため、その設定を行ったPCもあることだろう。セキュリティパッチを適用した後は、その回避策でとった設定を元に戻すことを忘れないようにしよう。でないと、パッチによってすでに脆弱性は修正されているのに、回避策による副作用(たとえばOLEDBやADOを利用するアプリケーションが利用できない)だけが残ってしまうからだ。
関連情報
■URL
マイクロソフトセキュリティ情報 MS08-078
http://www.microsoft.com/japan/technet/security/bulletin/ms08-078.mspx
■関連記事
・ MSが定例外の緊急パッチ「MS08-078」、IEの脆弱性を修正(2008/12/18)
・ IE7の脆弱性を狙ったゼロデイ攻撃に対応する(2008/12/15)
( 大和 哲 )
2008/12/18 14:08
- ページの先頭へ-
|