4月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは11日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月公開されたセキュリティ更新は予告通り6件で、深刻度の内訳で見ると、深刻度が最も高い“緊急”のセキュリティ更新は4件、2番目に高い深刻度“重要”が2件となっている。

 では、今回は深刻度“緊急”の4件とについて、その内容を見ておこう。

 なお、10日には、Windows Vistaのメインストリームサポートが終了したことにも留意されたい。今後5年間は延長サポート期間となり、サービスパックの追加などは行われないことになるが、セキュリティパッチの提供は行われる。

 ちなみに、その前のバージョンのOSにあたるWindows XP、それにオフィスソフトのOffice 2003の延長サポート期限は2014年4月に終了する。

MS12-023:Internet Explorer用の累積的なセキュリティ更新プログラム(2675157)

 Internet Explorer(IE) 6から9までの、以下の5つの脆弱性がこの更新プログラムで修正された。

 

  • 印刷機能のリモートでコードが実行される脆弱性 - CVE-2012-0168
  • JScript9のリモートでコードが実行される脆弱性 - CVE-2012-0169
  • OnReadyStateChangeのリモートでコードが実行される脆弱性 - CVE-2012-0170
  • SelectAllのリモートでコードが実行される脆弱性 - CVE-2012-0171
  • VMLスタイルのリモートでコードが実行される脆弱性 - CVE-2012-0172

 

 いずれも非公開でマイクロソフトに報告された脆弱性で、一般には技術情報などは出回っていない。これら5件の中で、最も影響範囲が広く深刻度も高い脆弱性が「CVE-2012-0171」、次いで「CVE-2012-0170」「CVE-2012-0172」「CVE-2012-0169」といった順になるだろう。

 いずれも、IEの実装に問題があり、削除されたオブジェクトにアクセスしようとした場合に、攻撃者が現在のユーザーのコンテキストで任意のコードを実行する方法でメモリ破壊が起き、結果として悪意の第三者によるリモートコード実行が行われる可能性があるという内容だ。

 攻撃の可能性としては、いずれも、これらの脆弱性を悪用したウェブページを用意しておき、標的PCのユーザーにIEで読み込ませるといったシナリオが考えられる。

 また、「印刷機能のリモートでコードが実行される脆弱性(CVE-2012-0168)」は、特定の状況下でIEが特別な細工をされたHTMLページの印刷を適切に処理しないという問題だ。この脆弱性を悪用するには、標的PCのユーザーにIEで悪意のあるページを読み込ませた上で、[リンクの一覧を印刷する]オプションを有効にして印刷させる必要がある。このように複雑な操作が必要な脆弱性は、さすがに悪用には使いにくいかもしれないが、他の脆弱性はIE定番の問題であり、的確なタイミングでパッチを当てておく必要があるだろう。

MS12-024:Windowsの脆弱性により、リモートでコードが実行される(2653956)

 このセキュリティ更新プログラムが更新する脆弱性は「WinVerifyTrust Signature Validation の脆弱性 - CVE-2012-0151」の1件で、脆弱性情報は一般には非公開の形でマイクロソフトに報告されている。

 この脆弱性は、Windows Authenticode Signature Verificationの機能に問題があり、匿名の攻撃者が既存の署名済みの実行可能ファイルを変更して、署名を無効にせずにファイルに悪意のあるコードを追加するような方法で、ファイルの未検証の部分を利用して悪意のコードを実行させることが可能となる。

 攻撃のシナリオとしては、この脆弱性を悪用した実行ファイル、たとえば.exeファイルを標的ユーザーにメールなどに添付して送りつけて実行させる方法が考えられる。今回の更新プログラムでこの脆弱性は解消されるものの、こうした実行可能なファイルは信頼できる相手からのものしか実行してはいけない。これはセキュリティの基本中の基本だろう。

 署名の有無に関わらず、.exeなどの実行ファイルは信頼できる配布先からのものだけ使用するようにすべきだろう。

MS12-025:.NET Frameworkの脆弱性により、リモートでコードが実行される(2671605)

 このセキュリティ更新は、「.NET Framework のパラメータ検証の脆弱性 - CVE-2012-0163」を修正するもので、脆弱性情報は一般に非公開の形でマイクロソフトに報告されている。

 修正対象となるソフトウエアは、Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003の環境にインストールされている.NET Framework 4だ。

 この脆弱性は、.NET Frameworkへの入力データの検証方法に問題にあり、ログオンユーザーでのランダムなコード実行を許してしまうというものだ。

 この脆弱性が悪用された場合、ユーザーがXAMLブラウザーアプリケーション (XBAP)を実行するウェブブラウザーを使用して特別に細工されたウェブページを表示すると、クライアントシステムでリモートでコードが実行される可能性がある。

 また、この脆弱性はウェブサイトを閲覧するユーザーだけでなく、ASP.NETが走っているIISサーバーにも影響を及ぼす。Exploitability Index(悪用可能性指標)も、最も可能性の高い「1 - 悪用コードの可能性」とされており、一般ユーザーだけでなく、サーバー管理者にとっても注意が必要だ。

MS12-027:Windowsコモンコントロールの脆弱性により、リモートでコードが実行される(2664258)

 「MSCOMCTL.OCXのRCEの脆弱性(CVE-2012-0158)」を修正するセキュリティ更新で、Windowsコモンコントロールを含むマイクロソフトのソフトウェアが対象となり、具体的な製品としては、

 

  • Microsoft Office 2010/2007/2003
  • SQL Server 2008 R2/2008/2005(Express Editionを除くがExpress Edition with Advanced Servicesは含む)/2000 Analysis Services
  • Microsoft BizTalk Server 2002
  • Microsoft Commerce Server 2009 R2/2009/2007/2002
  • Microsoft Visual FoxPro 9.0/8.0
  • Visual Basic 6.0ランタイム

 

と非常に多岐に渡っている。

 Exploitability(悪用可能性)は「1 - 悪用コードの可能性」とされていて、しかもマイクロソフトによれば、既にこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しているという。一般PCユーザー、サーバー管理者とも警戒を要する脆弱性で、特に業務などで今でもVB6アプリを使っている場合などは要注意だ。

 ちなみに、脆弱性の内容だが、「MSCOMCTL.OCX」ファイルに含まれるActiveXコントロール「Windowsコモンコントロール」のMSCOMCTL.TreeView、MSCOMCTL.ListView2、MSCOMCTL.TreeView2、MSCOMCTL.ListViewに問題があり、これがIEで使用されることでシステムの状態を破損し、結果として攻撃者による任意のコードの実行を可能になるというものだ。

 攻撃のシナリオとしては、悪意の攻撃者が特別に細工したウェブページを構築し、ユーザーがこのウェブページを閲覧したときに、脆弱性によってリモートでコードが実行される可能性がありうる。ちなみに、この脆弱性が悪用された場合、攻撃者が取得する権限は、ログオンユーザーと同じ権限となる。

 一般ユーザー、サーバー管理者、特にDBサーバーであるSQL Serverを使用したシステムでは警戒が必要な脆弱性だろう。

最後に - セキュリティ更新の自動適用を

 最近では、マイクロソフトのセキュリティ情報でも、ユーザーに推奨する対応策として、「自動更新を有効にしている大多数のお客様には、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません」と記載されることが多いように、マイクロソフト製品の脆弱性に関して、ユーザーが手動で確認してインストールする必要はほぼなくなってきた。

 さすがに、サーバー管理者などにとっては、影響範囲の確認と手動でのパッチが必要だろうが、クライアントPCユーザーに関してはほぼ自動で更新を定期的に当てれば問題はなくなってきたように思う。

 そこで、毎月本誌で書かせていただいた本連載も、一旦今月で終了とさせていただければと思う。2006年から実に6年間書かせていただき、多少なりとも読者のみなさんのお役に立てたのであれば、筆者としても幸いだ。

 これからもクライアントPCユーザーのみなさんは、マイクロソフトの自動セキュリティ更新を忘れずに(モバイル用途などが多く、あえて自動にしていない場合は手動での適用を忘れずに)、サーバーPC管理者のみなさんも、マイクロソフトのセキュリティTechNetなどの情報から影響範囲を確認の上、必要であれば適用していただければ思う。

 自分がコンピューターウイルスの被害にあった場合、さらに被害を広げる加害者の立場にも即なりうることを忘れずに対策いただきたい。

 これまでありがとうございました。


関連情報

(大和 哲)

2012/4/12 06:00