1月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは11日、今年最初の月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月公開されたセキュリティ更新は予告通り7件で、この中には先月延期となったSSL/TLSの脆弱性に関する修正パッチ1件も含まれている。

 深刻度の内訳で見ると、深刻度が最も高い“緊急”のセキュリティ更新は1件のみで、残る6件は上から2番目の“重要”となっている。また、修正される脆弱性の件数としては、計8件となる。

 では、今回は深刻度“緊急”の「MS12-004」も含めて、リモートコード実行の危険性のある脆弱性3件について見ておこう。

MS12-004:Windows Mediaの脆弱性により、リモートでコードが実行される(2636391)

 Windows Media Playerに存在する、リモートコード実行される可能性がある脆弱性として、このセキュリティ更新は以下の2つの脆弱性を修正する。

・MIDIのリモートでコードが実行される脆弱性 - CVE-2012-0003
・DirectShowのリモートでコードが実行される脆弱性 - CVE-2012-0004

 CVE-2012-0003は、攻撃者が悪意のMIDIファイルを標的PCに読み込ませることでメモリ破壊を引き起こし、リモートコード実行が可能となる脆弱性。CVE-2012-0004は、DirectShowファイルを読み込ませることで同様にメモリ破壊を引き起こし、リモートコード実行を引き起こす可能性がある脆弱性だ。

 なお、この脆弱性を持つ対象となるOSは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。Windows Vista/XPおよびWindows Server 2008/2003では深刻度が最も高い“緊急”となっているが、Windows 7およびWindows Server 2008 R2では深刻度が1ランク下の“重要”とされている。

 いずれの脆弱性も、インターネットなど一般には公開されずにマイクロソフトに通報された脆弱性で、今のところ実証コード悪意のコードなどが作られた形跡はないとされている。

 しかし、Exploitability Index (悪用可能性指標)は2つの脆弱性とも「1 - 悪用コードの可能性」とされており、悪用コードが作られた場合には、確実に動作するようなコードが作られる可能性が高い。

 しかも、特にMIDIファイルはデータを作るのはそれほど難しくないため、サービス拒否攻撃(DoS)程度の攻撃であれば悪意のユーザーが試行錯誤によって脆弱性にたどり着く可能性も否定できないだろう。

 ユーザーはできるだけ早急にマイクロソフトから提供されている修正プログラム(パッチ)を適用すべきだろう。

MS12-005:Microsoft Windowsの脆弱性により、リモートでコードが実行される(2584146)

 このセキュリティ更新で修正される脆弱性は、悪意のあるClick Onceアプリケーションを含む特別な細工がされたMicrosoft Officeファイルをユーザーが開いた場合に、リモートでコードが実行される可能性がある、というものだ。

 Click Onceアプリケーションとは、.NET Framework 2.0以降から利用可能となった技術で、ユーザーにウェブページなどを表示させ、そのリンクをクリックさせるだけでアプリケーションの実行を行えるというものだ。

 Click Onceアプリケーションのファイルの種類が、Windows Packagerの安全でないファイルの種類のリストに含まれていないため、Click Onceアプリケーションがオフィス文書に埋め込み可能になっていることから、このような現象が起こる。

 対象となるOSは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。現時点でこの脆弱性の技術的詳細や実行コードは一般には出回っていないが、Exploitability Index(悪用可能性指標)は「1 - 悪用コードの可能性」となっており、悪用コードが作られた場合には確実に実行可能なコードとなる可能性が高い。

 なお、Click Onceで実行されるアプリケーションは、ログインユーザーで実行される。もし、この脆弱性を利用して悪用コードが作られた場合も、権限はログインしたユーザーの権限で実行される。

 深刻度は最高レベルの“緊急”とされてはないが、これは十分危険な脆弱性ではないかと考えられる。ユーザーが「特別に細工されたMicrosoft Officeファイル」を作成するには一定の技術レベルが必要だが、それ以外にこの脆弱性を利用した悪用コードを作るための障壁は少ないように思える。

 ユーザーはできるだけ早急にマイクロソフトから提供されている修正プログラム(パッチ)を適用すべきだろう。

MS12-002:Windowsオブジェクトパッケージャーの脆弱性により、リモートでコードが実行される(2603381)

 特別な細工が施された実行可能ファイルと同じネットワークディレクトリにある、パッケージ化されたオブジェクトが組み込まれた正当なファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があるという脆弱性だ。

 攻撃方法としては、ネットワーク攻撃の場合、攻撃者がパッケージ化されたオブジェクトが組み込まれた正当なファイルと、特別に細工された実行可能ファイルをネットワーク共有やUNC、または WebDAV上に置き、ユーザーにそのファイルを開かせようとすることで、攻撃を行う可能性がある。

 ちなみに、この脆弱性が悪用された場合、攻撃者はログオンユーザーと同じ権限を取得する可能性がある。

 対象となるソフトウェアは、Windows XPとWindows Server 2003だ。

 Exploitability Index (悪用可能性指標)は「1 - 悪用コードの可能性」となっており、それが作られた場合は確実に実行可能なコードとなる可能性が高い。ただし、技術的な情報が少ないため、現時点では実際に悪用コードを作るのは難しいと思える。

 対象となるソフトウェアも、Windows XPとWindows Server 2003と比較的古いOSに限られるが、該当ユーザーにとって脅威であることに変わりはないので、早めのパッチ適用を行うべきだろう。


関連情報


(大和 哲)

2012/1/12 13:14