7月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは13日、月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は合計4件で、先月の16件から大幅に減った。うち1件は脆弱性の最大深刻度が4段階で最も高い“緊急”、残りの3件は上から2番目に高い“重要”となっている。

　今月のセキュリティ情報「MS11-055」のVisio関連の脆弱性については、単純に「電卓」アプリを走らせるデモ的なものではあるが、実証コードが既に昨年の8月に公開されている。利用ユーザーは忘れずにアップデートをしておくべきだろう。

　また、Windows Vista SP1、Windows Server 2008、Office XP、.NET Framework 3.0/3.0SP1/3.0SP2/3.5、Exchange Server 2007 SP2の各製品において、サポート期間がこの13日をもって終了となっている。Windows Vista SP1とWindows Server 2008に関しては、新しいサービスパックを導入してパッチを当てるべきだろう。

　Office XPに関しては、サービスパック、パッチなどの提供は終わるので、マイクロソフトでは、ユーザーに対して後継製品（Office 2010/2007）への移行を推奨している。

　ちなみに、今回サポートが終了した.NET Framework 3.0や、既にサポートが終了している.NET Framework 2.0は、最新の.NET Framework 3.5 SP1がこれらの機能を含んでいる。したがって、.NET Framework 3.0/2.0対応のアプリがすぐに使えなくなるということはない。

　それでは今月は、影響するユーザーの多そうな3件のセキュリティ情報について、内容を確認しておこう。

●MS11-053：Bluetoothスタックの脆弱性（2566220）

　「MS11-053」で修正する脆弱性は、マイクロソフトのサイトによれば、PCのBluetooth 2.1スタックが稼動しているPCが、ある値を持つように細工されたBluetoothパケットを受信した場合にコードを実行させられる危険があるものだ。Exploitability Index (悪用可能性指標)は、「2 - 不安定な悪用コードの可能性」となっている。

　この脆弱性は今まで一般には知られておらず、マイクロソフトにのみ開示されたようで、詳細な技術情報は掲載されていない。

　また、Bluetoothスタックには、オーディオ、シリアルポート、ダイヤルアップモデム、キーボードやマウスといったヒューマンインターフェースなど、さまざまなデバイスに対応したプロファイルが含まれているが、脆弱性はこれらのプロファイルに含まれているのか、それとももっと下のレイヤーでメモリ破壊を起こすのかの情報もない。

　問題となったBluetoothスタックは、Windowsではサーバー系のOSには付属せず、クライアント系のWindows 7/Vistaにのみ添付されている。このため、今回のセキュリティ更新も、影響が及ぶのはWindows 7/Vistaの32ビット版とx64版のみとなる。なお、Windows Vista SP1の場合は、オプションの「Windows Vista Feature Pack for Wireless」を使用している場合のみ影響を受ける。また、Bluetoothインターフェースを搭載していない、あるいは有効にしていない場合にも影響はない。

　このセキュリティパッチを当てれば脆弱性が解消するのはもちろんだが、この脆弱性を使って攻撃しようとした場合、攻撃者はBluetoothデバイスのアドレスを知っており、接続できるような状態になっていないと利用できない。

　したがって、パッチ以外の回避策としては「sc config bthport start= disabled」コマンドでBluetoothドライバーをオフにして無効にする方法も挙げられているが、そこまでしなくても、Bluetoothの設定で「Bluetoothデバイスによる、このコンピュータへの接続を許可する」設定のチェックを外すだけでも攻撃不能となる。

　今回の脆弱性に限らず、他のBluetooth関連の脆弱性を利用した攻撃の場合も、そもそもデバイス側から標的PCのBluetoothが検出できなかったり、接続が許可されていなかった場合、攻撃が不能であることは多いはずだ。

　したがって、パッチを適用すると同時に、Bluetoothの設定で「Bluetoothデバイスによる、このコンピュータの検出」をオフにし、またBluetoothデバイスを利用しないときには「Bluetoothデバイスによる、このコンピュータへの接続を許可する」もオフにしておくことを推奨したい。

●MS11-054：Windowsカーネルモードドライバーの脆弱性（2555917）

　このセキュリティ更新は非公開でマイクロソフトに報告された深刻度“重要”の計15件の脆弱性を解決する。内容としてはいずれも、ローカルでユーザーとしてログインしてから、この脆弱性を利用して特権モードに昇格することが可能となるというものだ。つまり、攻撃するには標的PCにローカルでログオンすることが必要な条件となる。

　影響を受けるOSについては、現在マイクロソフトがサポートしているすべてのOS（Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003）となっている。仕組み上はおそらく、既にサポートが終了しているWindows NTやWindows 2000などにも影響がある脆弱性も存在すると思われる。

　なお、現在のところ、これらの脆弱性による攻撃などはマイクロソフトでは確認していないとのことだ。

　これらの脆弱性は、カーネルモードドライバーの「win32k.sys」が、カーネルモードドライバーオブジェクトを管理・記録する方法、およびこれらドライバーが他のドライバーやNTカーネルとデータ交換をする際の関数パラメーターを検証する方法に問題がある。たとえば、動的にドライバーのロードをするようなプログラムを偽装してこれらの脆弱性を突く不正プログラムを作成し、ローカルユーザーでこのプログラムを実行することで一時的に管理者権限を手にすることができる。

　こうした攻撃により管理者権限を手に入れ、ローカルユーザーとして登録されている自分をadministratorグループに登録することで、その後はいつでも管理者としてログオンできるようにシステムを書き換えてしまうことも可能だ。

●MS11-056：Windowsクライアント/サーバーランタイムサブシステムの脆弱性（2507938）

　このセキュリティ更新で修正を行うクライアント/サーバーランタイムサブシステム（CSRSS）とは、Windowsデスクトップでウィンドウを表示するアプリケーションが実行された際に、ウィンドウ管理用として使われるメモリを管理するプログラムだ。

　ウィンドウ1つあたり数百バイトが管理用として使用されるが、Windows上で実行したいアプリケーションがプログラムの実装ミスなどで大量にウィンドウを開いてしまった場合、PC上のメモリがすべて管理領域に食いつぶされる前に、ある設定した閾値で「メモリ不足エラー」を発生させて止める役割を持っている。

　ちなみにWindows XPの場合であれば、この管理領域「デスクトップアプリケーションヒープ」はデフォルトでは3MB程度がその用途に当てられるようになっており、ウィンドウ数で言えば約1万5000個分となる。

　セキュリティ更新では、このデスクトップアプリケーションヒープ関連で、非公開でマイクロソフトに報告された深刻度「重要」の計5件の脆弱性を解決する。

　内容としてはいずれも、ローカルでユーザーとしてログインしてから、この脆弱性を利用して特権モードに昇格することが可能となるというものだ。つまり、攻撃するには標的PCにローカルでログオンすることが必要な条件となる。

　マイクロソフトの情報によると、この脆弱性も現在マイクロソフトがサポートするすべてのOS（Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003）に影響する。理屈からいえば、いわゆるNT系カーネルを持つWindows NTやWindows 2000にも同じ脆弱性が存在すると考えられる。

　しかも、このセキュリティ更新で修正する脆弱性のある場所はある程度特定されており、また脆弱性5件のうち2件はExploitability（悪用可能性指標）も「1 - 安定した悪用コードの可能性」と判定されている。さらに、この脆弱性は、修正パッチの適用以外には回避策が存在せず、設定の変更などでは攻撃を防ぐことができない。

　リモートコード実行の可能性ではないが、特権昇格もほかの脆弱性と組み合わせて攻撃に使われる可能性のある危険な脆弱性だ。特に、既にサポートが終了しているOSには修正パッチも提供されないため、狙われたら攻撃は確実に成功し、管理者権限をローカルユーザーにのっとられることになる。サポートされていないOSをいまだに利用している場合は、絶対にバージョンアップすべきだ。