7月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは15日、月例のセキュリティ更新プログラム（修正パッチ）とセキュリティ情報を公開した。

　今回公開された修正パッチは計6件で、脆弱性の最大深刻度は最高レベルに当たる“緊急”のものが3件、次に高い“重要”が3件という内訳になっている。

　なお、5月にはDirectShow関係、7月にはMicrosoft Video ActiveXコントロール関係で攻撃が確認されたとして、セキュリティアドバイザリがそれぞれ公開されているが、これらに対する修正パッチ2件も、3件の“緊急”の中に含まれている。特にそのうちの1件は、現在も日本のサイトにも悪意のコードが拡散している危険なものとなっている。

　また、残りの1件の“緊急”の修正パッチは、フォントファイルに関するもので、一般のWindowsユーザーも警戒すべき内容の脆弱性だ。米Microsoft Security Response Center（MSRC）のブログでは、確実に動作する悪用コードが30日以内に公開されることがありそうだとして、ユーザーに警戒を呼びかけている。

　“重要”の3件の修正パッチは、「Virtual PC/Virtual Server」「ISA Server 2006」「Office Publisher」に関するものだ。これらについては、Virtual PCとISA Serverに関しては主にサーバー管理者、Publisherについては該当製品（Publisher 2007）のユーザーは内容を確認しておくべきだろう。

　それでは、今月は“緊急”の3件について内容を確認しておこう。

●MS09-028：Microsoft DirectShowの脆弱性（971633）

・DirectXのNULLバイトの上書きの脆弱性 - CVE-2009-1537
・DirectXのポインターの検証の脆弱性 - CVE-2009-1538
・DirectXのサイズの検証の脆弱性 - CVE-2009-1539

　MS09-028では、上記3つの脆弱性を修正する。DirectX 9.0/8.1/7.0を対象にしたもので、不正に加工したQuickTimeファイルを読み込ませることで、リモートでのコードを実行を可能にするという脆弱性だ。いずれも、DirectShowプラットフォーム（quartz.dll）に存在する脆弱性で、実行された悪意のコードは標的PCのユーザーの権限で実行され、利用者が管理者権限でPCを利用していた場合、悪意のコードはPCを完全に乗っ取ることが可能だ。

　Exploitability Index（悪用可能性指標）の評価は3件とも「1（安定した悪用コードの可能性）」とされており、危険性としてはいずれも同レベルと考えてよい。

　ただし、「DirectXのNULLバイトの上書きの脆弱性」については、インターネット上で悪意のコードが実際に使用されている脆弱性であるという点に違いがある。この脆弱性は、5月29日にセキュリティアドバイザリ「971778」として公開されたもので、本誌でも解説記事を掲載している。この脆弱性を利用した攻撃は現在も続いており、至急セキュリティパッチの適用が必要だ。

●MS09-032：ActiveXのKill Bitの累積的なセキュリティ更新プログラム（973346）

　MS09-032は、7月7日にセキュリティアドバイザリ（972890）が公開された、Microsoft Video ActiveXコントロールの脆弱性に対応するセキュリティ更新だ。

　セキュリティアドバイザリが公開されてから1週間も経たずに修正パッチが公開されたわけだが、米Microsoft Security Response Centerの公式ブログによれば、元々この脆弱性についてはIBM ISS X-Forceから2008年に報告を受けており、対応準備をしていたものだという。

　対応する脆弱性の内容としては、本誌でも解説記事で紹介した通り、Direct Show関連のファイル「msvidctl.dll」に存在する脆弱性だ。このDLLを利用する「MPEG2TuneRequest ActiveXコントロールオブジェクト」を悪用することで、ローカルのユーザーと同じ権限で悪意のプログラムを実行させることが可能になる。

　この脆弱性の悪用パターンとしては、悪意のあるActiveXオブジェクトをWebブラウザで表示させることで、ユーザーが気付かないうちにプログラムをインストールさせる「ドライブバイダウンロード」攻撃が既に実際に確認されている。7月15日現在でも、日本国内のサイトにも依然としてこの攻撃コードが貼り付けられているサイトが確認でき、現在進行形で相当規模の被害が発生していると考えられる。セキュリティアドバイザリで公開された回避策を適用していない場合には、セキュリティ更新を一刻の猶予もなく大至急適用すべきだ。

　なお、このセキュリティ更新プログラムで適用されるKill Bitの設定は、セキュリティアドバイザリで公開された回避策（Fix it）と全く同じ内容だ。結果的には、暫定措置とされていた回避策が、そのままセキュリティ更新として採用されたことになる。従って、既にFix itを適用している場合には慌てる必要はないが、現在進行形で日本のユーザーにも身近な場所で攻撃が広まっていることを配慮し、警戒しておくべきだろう。

●MS09-029：Embedded OpenTypeフォントエンジンの脆弱性（961371）

　この修正パッチは、これまで解説してきた「MS09-028」「MS09-032」とは違い、インターネット上ではこれまで情報が公開されていなかった脆弱性に対応するものだ。

・Embedded OpenTypeフォントのヒープオーバーフローの脆弱性 - CVE-2009-0231
・Embedded OpenTypeフォントの整数オーバーフローの脆弱性 - CVE-2009-0232

　内容的には上記2つの脆弱性に対応するもので、これらはいずれも、Windowsコンポーネントの「Embedded OpenType（EOT）フォントエンジン」に存在しているものだ。

　攻撃者は、不正に加工したEOTフォントファイルをリモートPCに読みませることで、任意のプログラムの実行が可能となる。EOTフォントファイルとは、「.eot」という拡張子のフォントファイルで、一般的にはInternet ExplorerがWebページを読み込んだ際に一緒にフォントファイルを読み込み、指定したフォントでページを表示するといった使われ方をされる。

　この脆弱性を使った攻撃は、特別に細工したフォントファイルを用意しておき、ユーザーが悪意のWebページを閲覧した場合にそのフォントファイルを読み込ませ、脆弱性によりウイルスなどの悪意のコードを実行させるといった手法になる。

　マイクロソフトから公開されている情報はあまり多くなく、現時点の情報だけで悪意のコードを作成するのは難しいと考えられるが、もし作成された場合には、おそらく攻撃を受けてもユーザーの多くは何が起こったのかわからないままウイルスなどに感染させられてしまう可能性が高い。また、悪用可能性指標についても「1（安定した悪用コードの可能性）」とされており、悪用コードはどのような環境でも確実に動作する可能性が高いと思われる。

　これらの点を考慮すると、MS09-029については現時点ではそれほど慌てる必要はないが、やはりしっかりと適用を確認しておくべき更新だと考えておくべきだろう。