2月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは15日、今年最初の月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は予告通り9件。最大深刻度が最も高い“緊急”のセキュリティ更新はそのうちの4件で、その他5件は2番目に高い深刻度“重要”となっている。修正される脆弱性の合計件数は21件だ。

　では、今回は深刻度“緊急”の4件について見ておこう。

●MS12-010：Internet Explorer用の累積的なセキュリティ更新プログラム（2647516）

　米Microsoft Security Response Center（MSRC）では、今月のセキュリティ更新のうち、Internet Explorer（IE）に関する「MS12-010」と、Cランタイムライブラリに関する「MS12-013」の2件を、最も優先的に適用を検討すべきセキュリティ更新としている。

　「MS12-010」では、IEに関する以下の4件の脆弱性を修正する。

・HTMLレイアウトのリモートでコードが実行される脆弱性 - CVE-2012-0011
・VMLのリモートでコードが実行される脆弱性 - CVE-2012-0155
・Nullバイトの情報漏えいの脆弱性 - CVE-2012-0012
・コピーおよび貼り付けの情報漏えいの脆弱性 - CVE-2012-0010

　このうち、CVE-2012-0011とCVE-2012-0155の2件はリモートコード実行の可能性がある脆弱性で、CVE-2012-0012とCVE-2012-0010の2件は情報漏えいの可能性があるというものだ。いずれもこれまで一般には未公開の内容の脆弱性で、現時点では悪用に使われた形跡もない。

　リモートコード実行の可能性があるCVE-2012-0011とCVE-2012-0155はいずれも、IEが削除されたオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性が存在するというもの。これにより、攻撃者がログオンしているユーザーのコンテキストで任意のコードを実行する方法で、メモリ破壊を引き起こす可能性がある。

　攻撃のシナリオとしては、脆弱性を悪用する内容を含むウェブページを公開し、それを標的ユーザーに閲覧させることで、悪意のあるプログラムを標的PCに実行させることが考えられる。攻撃が成功した場合、悪意のユーザーはウェブを閲覧した際に使われたログオンユーザーと同じ権限を取得できる。

　影響のあるIEのバージョンは、CVE-2012-0011が IE9/8/7、CVE-2012-0155がIE9のみ。

　脆弱性の技術的内容は公開されておらず、悪意のコード作成はそれほどやさしくないと考えられる。ただし、Exploitability Index（悪用可能性指標）は2件とも「1 - 悪用コードの可能性」とされており、コードが作成された場合には確実性の高い攻撃が可能となるため、警戒が必要な脆弱性だといえるだろう。

●MS12-013：Cランタイムライブラリの脆弱性（2654428）

　MSRCが「最優先に適用を検討すべき」としているもう1件のセキュリティ更新が、この「MS12-013」だ。

　この脆弱性は、Cランタイムライブラリの「msvcrt.dll」が、メモリ内のデータ構造のサイズを計算する方法に問題があり、これを利用してリモートでコードが実行される可能性があるというものだ。対象となるソフトウェアは、Windows 7/VistaおよびWindows Server 2008 R2/2008。

　msvcrt.dllは、マルチスレッドのCランタイムダイナミックリンクライブラリであり、C言語あるいはC++言語で開発されるアプリケーションでは動作のために必須のライブラリだ。システムレベルのコンポーネントでも使用されている。

　脆弱性は一般には非公開の形でマイクロソフトに通知されており、現在のところ、悪用された形跡はない。悪用された場合のシナリオとしては、メール添付のプログラムなどで悪用ソフトが送られ、標的ユーザーがそれを起動してみた場合などが考えられる。

　ただし、この脆弱性が悪用される条件としては、msvcrt.dllを使用するサードパーティアプリケーションが、システムのDLLではなくVisual StudioのDLLを使っていた場合のみが、攻撃対象となりうる。したがって、攻撃成功の可能性はやや低いが、Exploitability Index（悪用可能性指標）は「1 - 悪用コードの可能性」とされており、コードが作られた場合には攻撃の確実性は高い。ある程度警戒が必要な脆弱性情報であると考えておくべきだろう。

●MS12-008：Windowsカーネルモードドライバーの脆弱性（2660465）

　「MS12-008」では、以下の2つの脆弱性を修正する。

・GDIのアクセス違反の脆弱性 - CVE-2011-5046
・キーボードレイアウトの解放後使用の脆弱性 - CVE-2012-0154

　このうち、より危険な脆弱性は前者のCVE-2011-5046の方だと考えられる。CVE-2011-5046の内容は、ユーザーモードからGDIのカーネルコンポーネントで渡された入力を正しく検証しない場合があり、Windowsカーネルにリモートでコードが実行される脆弱性が存在するというものだ。

　カーネルモードでのメモリ破壊による攻撃のため、この脆弱性が悪用された場合にはカーネルモード内の任意のコードが実行される可能性があり、悪意のユーザーはリモートコードを管理者権限で動かすことができ、プログラムのインストールや、データの表示、変更、削除など、PCを完全に乗っ取ることが可能になる。

　この脆弱性は、64bit版のWindows 7にクラッシュを引き起こす脆弱性が発見されたとして、2011年12月にコンセプトコードがインターネット上などで公開されている。現在までのところ、攻撃に使われた形跡はないが、すぐにでもコンピューターウイルスなどに転用される可能性は非常に高い。

　対象となるOSは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003で、いずれの環境でも深刻度は“緊急”となっている。

　非常に危険であり、早急にパッチを当てるべき脆弱性だろう。

●MS12-016：.NET FrameworkおよびMicrosoft Silverlightの脆弱性（2651026）

・.NET Frameworkのアンマネージオブジェクトの脆弱性 - CVE-2012-0014
・.NET Frameworkのヒープ破損の脆弱性 - CVE-2012-0015

　「MS12-016」では、上記2件の脆弱性を修正する。CVE-2012-0014は.NET Framework 4/3.5.1/2.0とSilverlight 4、CVE-2012-0015は.NET Framework 3.5.1/2.0のみが対象となる。

　CVE-2012-0014は、一般には非公開でマイクロソフトに通知された脆弱性で、.NET FrameworkおよびSilverlightがアンマネージオブジェクトを不適切に使用することで、リモートコード実行が可能になるものだ。

　この脆弱性の悪用に成功した場合、影響を受けるシステムを完全に制御する可能性があり、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性がある。

　もう1つのCVE-2012-0015は、ある操作で.NETプログラム上でヒープを確保する際に特殊な値を利用した場合、.NET Frameworkがバッファーの長さを正しく計算できず、結果としてメモリ破壊を引き起こし、リモートコード攻撃が可能になるというものだ。

　この脆弱性の悪用に成功した場合は、現在ログオンしているユーザーと同じユーザー権限でリモートコード実行をすることが可能となる。

　前述のCVE-2012-0014より危険度は低いが、この脆弱性については既にインターネット上などで一般に情報が知られており、検証用コードも出回っている。悪意のプログラムを作ることも、ある一定以上の技術レベルがあれば可能だ。その点も踏まえれば危険な脆弱性であるといえるため、ユーザーには早めのパッチ適用を薦めたい。