7月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは14日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 内訳としては、脆弱性の最大深刻度が4段階で最も高い“緊急”が3件、その次のランクの“重要”が1件の計4件だ。

 なお、この中には5月と6月にそれぞれ一般に公開された脆弱性への修正パッチも含まれている。特に、6月に公開されたWindows XPとWindows Server 2003の「ヘルプとサポートセンターの脆弱性」は技術的にも悪用が簡単で、コード実行の確実性もあり、実際に悪用もされている非常に危険な脆弱性となっている。Windows XPとWindows Server 2003のユーザーは、確実にパッチが適用できていることを確認しておく必要があるだろう。

 なお、今月のリリースをもってWindows XP Service Pack 2(SP2)とWindows 2000のサポートが終了した。Windows XP SP2ではセキュリティ関連機能が大幅に追加され、以前から使っていたユーザーには「SP2なら安全」と思っているかもしれないが、今後はWindows XP SP2には修正パッチは提供されないため、どんどん脆弱なOSとなっていくことになる。

 今までSP2を使っていたユーザーは必ず、新しいOSへの乗り換えか、今後もセキュリティパッチが提供されるWindows XP SP3を適用すべきだ。ちなみに、Windows XP SP3は、2014年4月9日まではセキュリティパッチの提供を含めたサポート対象となる。

 それでは、今月の4件の公開されたセキュリティ更新の内容を見ておこう。

MS10-042:ヘルプとサポートセンターの脆弱性(2229593)

 「MS10-042」は、マイクロソフトが6月11日にセキュリティアドバイザリ「2219475」として情報を公開していた、Windows XPおよびWindows Server 2003の脆弱性を修正するものだ。

 この脆弱性は、Windowsの「MPC::HexToNum」関数の実行部分を受け持っている「helpctr.exe」の問題で、パッチではこのファイルの修正版を提供する。

 この関数は、Windows内で「hcp://~」という形式のURLでアドレスを指定した際に、本来であればそのアドレスが信頼できる場合のみヘルプファイルが開けるようになっているはずだった。しかし、URLエンコードされたアドレスをデコードする際の問題で、ある特殊な形でこのhcpスキームを使用すると、信頼できるアドレス以外のファイルを開くことができてしまい、結果的にこの脆弱性を利用してPCを乗っ取ることが可能となっていた。

 この脆弱性は、ある海外のセキュリティ研究者が発見したもので、研究者はマイクロソフトに「60日以内にパッチを提供してほしい」と交渉したが、その確証が取れなかったとして情報を一般に公開した。

 情報はセキュリティ研究者などが投稿するメーリングリスト「BUGTRAQ」などに投稿され、誰もが閲覧可能な状態になっていた。また、投稿されたメールには非常にわかりやすい形で実証コードが記載されていたため、コードは簡単に改造可能で、確実に再現できる性質のものだった。

 結果としてマイクロソフトは、研究者の投稿から33日でこのパッチを提供したのだが、残念ながら既にWindows XPマシンを標的とした攻撃に悪用されたことが確認されている。

 ここで、研究者とマイクロソフトのどちらの行動がどうという問題には言及しないが、いずれにしても現在のところ、この脆弱性が攻撃可能な最大のセキュリティホールとなっていることは事実だ。特に、既に攻撃の標的となっているWindows XPのユーザーは、大至急このパッチを適用すべきだろう。

MS10-043:Canonical Display Driverの脆弱性(2032276)

 このセキュリティ更新も、マイクロソフトが5月19日にセキュリティアドバイザリ「2028859」として情報を公開していた脆弱性を修正するものだ。

 修正される脆弱性は「Canonical Display Driver整数オーバーフローの脆弱性(CVE-2009-3678)」と呼ばれるもので、64ビット版のWindows 7とWindows Server 2008 R2に含まれるCanonical Display Driver(cdd.dll)に、データ構文解析を適切に行わない障害があり、PCにWindows Aeroテーマがインストールされている場合、メモリー破壊を引き起こす可能性がある。

 このメモリー破壊によって、ほとんどの場合はサービス拒否状態(DoS)になるが、状況によっては悪意のプログラムの実行を許す可能性も存在する。脆弱性のExploitability Index(悪用可能性指標) は、「2 - 不安定な悪用コードの可能性 」とされている。

 この脆弱性は、64ビット版のWindows 7とWindows Server 2008 R2にしか存在しておらず、しかもWindows Server 2008 R2はデフォルトではAeroはインストールされていない。対象PCが限定されており、実際にはこの脆弱性が悪用される可能性はそれほど高くないと考えられるが、油断せずに対象PCの管理者はパッチを当てておくべきだろう。

MS10-044:Microsoft Office AccessのActiveXコントロールの脆弱性(982335)

 このセキュリティ更新は、以下の2つの脆弱性に対応している。いずれも、これまで一般には未公開の脆弱性情報だ。

  • AccessのActiveXコントロールの脆弱性 - CVE-2010-0814
  • ACCWIZ.dllの初期化されていない変数の脆弱性 - CVE-2010-1881

 1つめの「AccessのActiveXコントロールの脆弱性」は、AccessのActiveXコントロール「AccWizObjects」に、初期化なしでのインポートによって、任意のプログラムを標的PC上で実行できるという脆弱性だ。

 悪用のためには、標的PCユーザーを悪意のWebサイトに誘導し、ActiveXを利用させる必要がある。また、標的PC上で実行されたプログラムは、実行したPCユーザーの権限での実行となる。

 2つめの「ACCWIZ.dllの初期化されていない変数の脆弱性」は、同じくACCWIZに関連する脆弱性なのだが、こちらは発見者のIBM ISS X-Forceによって「ACCWIZ Release-After-Freeリモートコード実行」と命名されている通り、ACCWIZを解放した後である特殊な操作を行うことで、標的PC上でのリモートコード実行が可能になるという脆弱性だ。

 この脆弱性を悪用する場合もやはり、標的PCユーザーを悪意のWebサイトに誘導し、ActiveXを利用させる必要があり、標的PC上で実行されたプログラムの実行権限は、実行したPCユーザーの権限と同じとなる。

 現在まで一般には情報が非公開だった脆弱性で、悪用の形跡はどちらの脆弱性にも見られない。ただし、Office関連のActiveXの脆弱性は、海外のクラッキングサイトなどでは比較的早くに悪用コードが開発され、また広く使われる傾向がある。確実なパッチ適用を薦めたい。

MS10-045:Microsoft Office Outlookの脆弱性(978212)

 MS10-045は、Outlook 2007/2003/2002に存在する「Microsoft Outlook SMB添付ファイルの脆弱性(CVE-2010-0266)」を修正するセキュリティ更新だ。この脆弱性の情報は、これまで一般には非公開だった。

 この脆弱性は、特別に細工された電子メールに対して、OutlookがPR_ATTACH_METHODプロパティのATTACH_BY_REFERENCE値を使用して添付したメール添付ファイルを正しく検証できないために起こる。

 この脆弱性を使った攻撃は、ユーザーが「メールに添付されたファイルを開く」というアクションが必要であるため、脆弱性の深刻度は他の3件よりも一段低い“重要”となっている。ただし、ユーザーに「これは開かなければいけないファイルだ」と思わせることができさえすれば悪用は容易であり、その意味では比較的危険度の高い脆弱性だと言えるだろう。


関連情報

(大和 哲)

2010/7/15 13:07