11月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは9日、月例のセキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は全部で4件で、内訳としては最大深刻度が最も高い“緊急”が1件、上から2番目の“重要”が2件、最も低い“警告”が1件となっている。いずれも対象ソフトはWindowsだ。

　また、今回修正された脆弱性は、いずれもゼロデイ脆弱性としては悪用されていないもので、一般には非公開の形でマイクロソフトに通知された脆弱性となっている。

　それでは今月は、リモードコード実行可能とされたセキュリティ更新情報2件について、内容を確認しておこう。

●MS11-083：TCP/IPの脆弱性により、リモートでコードが実行される（2588516）

　米MicrosoftのSecurity Response Center blogによれば、今月最も注意が必要な脆弱性が「MS11-083」で修正されるものだ。できる限り早急なパッチ適用が推奨されている。

　内容としては、細工したUDPパケットのストリームを使用していないポートに送りつけることで、リモートからのコード実行が可能になるという脆弱性だ。

　対象となるOSは、Windows 7/VistaおよびWindows Server 2008 R2/2008で、いずれの環境でも深刻度が“緊急”とされている。ちなみにWindows XPなどは対象外だ。

　脆弱性の原因は、TCP/IPスタックというLAN・インターネット通信に欠かせないモジュール内に存在する整数オーバーフローの実装エラーによるものだ。

　Exploitability Index（悪用可能性指標）は「2 - 不安定な悪用コードの可能性」なので、コード実行の確実性は低いものの、もし実行できた場合にはコードは特権モードで実行されるため、PC上ですべての操作が可能になってしまう。もちろん、管理者モードのユーザーを作り出すなどということも可能になってしまう。

　何らかのサービスなどで使っている「開いている」ポートに悪意のデータを送ることで成立する攻撃は多いが、この脆弱性は「閉じている」ポートへの攻撃が成立する点が特徴的だ。UDPで使っていないポートにデータを送ることで攻撃が成立するのであるから、多用な攻撃パターンを作ることが可能だと思われる。繰り返すが、これはできるだけ早急にパッチを当てるべき脆弱性だ。

●MS11-085：WindowsメールおよびWindowsミーティングスペースの脆弱性により、リモートでコードが実行される（2620704）

　このセキュリティ更新も1件の脆弱性を修正する。

　脆弱性の内容は、Windowsメールと WindowsミーティングスペースがDLLファイルのロードを処理する方法に、リモートでコードが実行される脆弱性が存在し、特別な細工がされたDLLファイルと同じネットワークディレクトリにある.emlファイルや.wcinvファイルなどをユーザーが開いた場合、悪意のコードを実行してしまう可能性がある、というものだ。

　脆弱性の深刻度は、Windows Vistaでは“重要”、Windows Server 2008では“警告”、Windows 7およびWindows Server 2008 R2では“注意”とされている。

　攻撃方法としては、たとえば、リモートディレクトリやWebDAV共有をユーザーが開き、この場所から.emlファイルや.wcinvファイルなどを開かせて攻撃するということが考えられる。なお、この.emlファイルや.wcinvファイルは正当なものでも、同じディレクトリにあるほかの悪意のファイルを実行してしまうというのがこの脆弱性の注目すべき点だろう。

　リモートディレクトリやWebDAVなど攻撃方法が限られるので、悪意の第三者といってもある程度標的ユーザーと近い環境が使えないと攻撃が成立しない。このため、深刻度は高くされていないと思われるが、これまであまりなかった攻撃方法が考えられるということで、これもできれば早急にパッチを当てるべき脆弱性だろう。