8月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは10日、月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は13件。脆弱性の最大深刻度は4段階で最も高い“緊急”が2件、2番目に高い“重要”が9件、3番目に高い“警告”が2件で、合計22項目の脆弱性を修正している。

　最大深刻度が“緊急”となっているのは、「MS11-057」（Internet Explorer関連）と「MS11-058」（DNSサーバー関連）の2件で、米Microsoft Security Response Center（MSRC）のブログでも、この2件が最も注意すべきものであるとしている。

　今月は、この2件を中心に内容を確認しておこう。

●MS11-057：Internet Explorer用の累積的なセキュリティ更新プログラム（2559049）

　「MS11-057」では、Internet Explorer（IE）に関する以下の7件の脆弱性を修正する。

・シフトJIS文字エンコードの脆弱性 - CVE-2011-1962
・ドラッグアンドドロップの情報漏えいの脆弱性 - CVE-2011-2383
・ウィンドウが開く競合状態の脆弱性 - CVE-2011-1257
・イベントハンドラーの情報漏えいの脆弱性 - CVE-2011-1960
・Telnetハンドラーのリモートコード実行の脆弱性 - CVE-2011-1961
・XSLTのメモリ破損の脆弱性 - CVE-2011-1963
・Styleのオブジェクトのメモリ破損の脆弱性 - CVE-2011-1964

　これらのうち5件は非公開でマイクロソフトに伝えられた脆弱性だが、「シフトJIS文字エンコードの脆弱性 - CVE-2011-1962」「ドラッグアンドドロップの情報漏えいの脆弱性 - CVE-2011-2383」の2件については、脆弱性の内容と実証コードが修正パッチの提供前に一般に公開されている。

　シフトJIS文字エンコードの脆弱性（CVE-2011-1962）は、IE6からIE9まで現在サポートされているIEの全バージョンに影響がある。特定の文字列を処理する際の実装の問題で、クロスドメインでの情報漏えいが発生する可能性があるというものだ。攻撃の方法としては、例えば悪質のコンテンツを含むウェブページを閲覧させるよう、標的PCを誘導して読み込ませ、XSSを利用して重要な情報を取得する可能性があるというものだ。

　マイクロソフトによれば、この脆弱性は公開されているものの、悪意の利用の形跡はまだないということだ。

　また、ドラッグアンドドロップの情報漏えいの脆弱性（CVE-2011-2383）も、対象はIE6～IE9の全バージョンとなっており、いわゆる「Cookieジャッキング」、つまり悪意のユーザーによりCookieを乗っ取ることができるというものだ。

　悪用手法としては、IFRAMEを使った悪意のページを表示し、その表示ソースをインターネット上のウェブページではなく、ローカルPC上に保存されたCookieを指定するという方法で、悪意の攻撃を行うことができる。

　実際に、Facebookのゲーム中でこの脆弱性を利用した攻撃のデモが公表されている。今年5月ごろから一般に存在が知られており、エクスプロイトコードも公開されていた。マイクロソフトによれば、この脆弱性は公開されたものの、攻撃に使われた形跡はないとしている。

　上記2件の脆弱性は深刻度としては低いが、例えばCookieジャッキングは、Facebookであれば本人が意識しないうちにウォールスパムを書き込んでしまうような攻撃に使われる可能性が高い。mixiやFacebook、Twitterといったウェブアプリをブラウザーからよく利用するユーザーは、こうした脆弱性が悪用された場合には個人情報が漏えいする危険性があるということを留意しておくべきだろう。

　なお、米SANSなど一部のセキュリティサイトによると、MS11-057ではWindows 7上で稼動するIE8に任意のコード実行を許してしまう脆弱性（CVE-2011-1347）も修正されたとしているが、マイクロソフトのセキュリティ更新サイトやMSRCではこのことについては何も言及していない。

　この脆弱性（CVE-2011-1347）は、2011年3月上旬に開催された脆弱性への攻撃に関するコンテスト「Pwn2Own 2011」で発見されたもので、当然、インターネットを中心に広く知れ渡っており、実証コードも公開されている危険な状態となっている。

　結果的にはセキュリティサイトによる誤報なのかどうかは不明だが、今回の更新で漏れたのであれば、できるだけ早急に対処することをマイクロソフトには願いたい。

◇米SANSによる月例パッチの説明（英文）
　http://isc.sans.edu/diary.html?storyid=11341

●MS11-058：DNSサーバーの脆弱性により、リモートでコードが実行される（2562485）

　このセキュリティ更新は、Windows Server 2008 R2/2008/2003が影響を受ける脆弱性2件を修正している。基本的にクライアントPCには影響はない。また、Windows Home Server 2011など、ホームサーバーOSも影響のあるOSには含まれない。

　修正する脆弱性は、「DNS NAPTR クエリの脆弱性 - CVE-2011-1966」「DNSの初期化されていないメモリ破損の脆弱性 - CVE-2011-1970」の2件で、いずれも攻撃者がドメイン名を登録し、特別に細工したNAPTR DNSリソースレコードを作成した上で、標的となるDNSサーバーにNAPTRクエリーを送信することで、DNSサーバー上でリモートでコードが実行される危険があるというものだ。

　NAPTRは、従来のDNSより高機能化したドメイン名検索の手法で、SIPなど各種のサービスに対応するサーバーやポート番号などの情報を返すことができるものだ。脆弱性の影響を受けるサーバーは、実際にDNSとして稼動しているサーバーのみで、DNSの役割を受け持っていないサーバーには攻撃はできない。