Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

5月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは13日、月例のセキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月公開されたセキュリティ更新は、PowerPointを対象とした「MS09-017」のみだ。しかし、「MS09-017」では実に14個ものPowerPointの脆弱性に対応している。

 今回の修正パッチは現時点で、Windows版のPowerPoint 2007/2003/2002/2000、PowePoint Viewerと、Officeの旧製品でOffice 2007形式のファイルを読み込むための「Word/Excel/PowerPoint 2007ファイル形式用Office互換機能パック」に対応するものが公開されている。

 一方、Works 9.0/8.5と、Mac用のOffice 2008/2004 for MacおよびOpen XML File Format Converter for Mac用について、「準備中」となっており、現時点では公開されていない。これらの製品用の修正パッチについては、品質テストが完了次第公開するとしている。


MS09-017:Microsoft Office PowerPointの脆弱性(967340)

  • 従来のファイル形式の脆弱性 - CVE-2009-0220
  • 整数のオーバーフローの脆弱性 - CVE-2009-0221
  • 従来のファイル形式の脆弱性 - CVE-2009-0222
  • 従来のファイル形式の脆弱性 - CVE-2009-0223
  • メモリの破損の脆弱性 - CVE-2009-0224
  • PP7のメモリの破損の脆弱性 - CVE-2009-0225
  • 従来のファイル形式の脆弱性 - CVE-2009-0226
  • 従来のファイル形式の脆弱性 - CVE-2009-0227
  • メモリの破損の脆弱性 - CVE-2009-0556
  • PP7のメモリの破損の脆弱性 - CVE-2009-1128
  • PP7のメモリの破損の脆弱性 - CVE-2009-1129
  • ヒープの破損の脆弱性 - CVE-2009-1130
  • 範囲外のデータの脆弱性 - CVE-2009-1131
  • 従来のファイル形式の脆弱性 - CVE-2009-1137

 「MS09-017」では、PowerPointについて上記14個の脆弱性を修正している。この中で最も危険な脆弱性は、「メモリの破損の脆弱性 - CVE-2009-0556」であると思われる。

 CVE-2009-0556は、範囲が限定的な攻撃(標的型攻撃)に利用されていたことが確認されており、4月3日にはマイクロソフトがセキュリティアドバイザリ(969136)を公開していた。ちなみに、この標的型攻撃のコードについては、マイクロソフトでは「Exploit:Win32/Apptom.gen」、シマンテックでは「Trojan.PPDropper.H」、トレンドマイクロでは「TROJ_PPDROP.AB」、マカフィーでは「Exploit-PPT.k」という名称で、それぞれ各社のウイルス対策ソフトなどで検出に対応している。

 CVE-2009-0556は技術的には、PowerPoint 2000 SP3、PowerPoint 2002 SP3、PowerPoint 2003 SP3と、Mac版のOffice 2004 for Macに存在している、境界エラーによるメモリ破壊の問題だ。PowerPoint 2003以前の形式のバイナリファイルを読み込む際に、ある境界エラーによるメモリ破壊を起こし、任意のコードが実行可能となるというものだ。

 ただし、悪意のコードによって確実に任意のコードが実行できるのはPowerPoint 2000のみで、他のバージョンでは脆弱性自体は存在するものの、境界エラーを起こした後に悪意のコード本体を確実に呼び出すのは難しいようだ。そのためか、脆弱性の深刻度としては、PowerPoint 2000 SP3のみが“緊急”、他のバージョンでは“重要”とされている。

 なお、この脆弱性はOffice 2004 for Macにも存在しているのだが、現時点ではOffice 2004 for Mac用の修正パッチは「準備中」となっており、提供されていない。従って、Office 2004 for Macを利用している場合には、セキュリティアドバイザリ(969136)で示されたように、信頼できないOfficeファイルを開かないといった攻撃の回避策を、引き続き取る必要がある。ただし、Office 2004 for Macを標的とした悪意のコードはまだ作られた形跡がなく、しかも原理的に見てもWindows版のPowerPointと同様の悪意のコードを作っても、その起動の確実性は低い。注意は必要だが、それほど神経質になる必要はないかもしれない。


 また、Mac版のOfficeではこのほか、「メモリの破損の脆弱性 - CVE-2009-0224」「ヒープの破損の脆弱性 - CVE-2009-1130」の2つの脆弱性も影響を受けるとされている。Macユーザーにとっては、修正パッチが提供されるまでの間は、この2つの脆弱性にも注意を払う必要がある。

 CVE-2009-0224は、PowerPointのファイルを表示する際に、一覧のレコードを検証する方法に問題があり、特別な細工がされたPowerPointファイルの無効なインデックス値を読ませた場合にメモリ破壊が発生し、そこから任意のコードの実行が可能になる可能性があるというものだ。ただし、Exploitability Index (悪用可能性指標)は「2」とされており、実際に攻撃コードに悪用される可能性はさほど高くないと評価されている。

 CVE-2009-1130については、あまり詳細な情報が公開されていないが、「PowerPointファイルを開く時に、PowerPointが影響を受けるメモリの構造を検証する方法」に問題があり、特別な細工がされたPowerPointファイルの不正な形式の構造の値を読ませた場合、メモリの破損が発生し、攻撃者が任意のコードを実行、コンピュータを完全に乗っ取る可能性があるとされている。この脆弱性の悪用可能性指標は、Mac版Officeについては最も低い「3」と評価されており、実用的な悪用コードを作れる可能性はほとんどないようだ。

 Mac版Officeについては、現時点で修正パッチは提供されていないが、ここまで見てきたように悪用される可能性は今のところは低く、ユーザーもそれほど神経質になる必要はないと言えるだろう。


関連情報

URL
  マイクロソフト 2009年5月のセキュリティ情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

関連記事
MSが5月の月例パッチ公開、PowerPoint関連の“緊急”1件(2009/05/13)


( 大和 哲 )
2009/05/14 12:58

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.