4月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは14日、月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　公開された更新情報は合計11件で、脆弱性の最大深刻度は4段階で最も高い“緊急”が5件、2番目に高い“重要”が 5件、3番目に高い“警告”が1件となっている。プラットフォーム別に見るとWindows関連が9件、Office関連が2件だ。

　また、今回のセキュリティ更新では、セキュリティアドバイザリで報告された、ゼロデイ脆弱性2件への対応も含まれている。

　Microsoft Security Response Center（MSRC）ブログによると、今回のセキュリティ更新の開発優先順位としては、一般のユーザーがまず適用すると考えられる順で、高いほうから「MS10-019」「MS10-026」「MS10-027」だったとしている。逆に言えば、この3つのセキュリティ更新が、一般ユーザーにとって優先的に適用すべき順であるとも言える。

　今月は、ゼロデイ攻撃に対応したセキュリティ更新2件と、MSRCブログで挙げられた3件の内容について確認しておこう。

●MS10-022：VBScriptスクリプトエンジンの脆弱性（981169）

　このセキュリティ更新では、マイクロソフトのセキュリティアドバイザリ「981169」で報告された、VBScriptに関するゼロデイ脆弱性に対応している。

　このゼロデイ脆弱性は、Windows XP/2000およびWindows Server 2003に存在する。Internet Explorer（IE）を使用する際の、VBScriptとWindows Helpファイルの相互作用の問題で、細工されたWebページを閲覧しているときに「F1」キーを押すと、悪意のプログラムが実行される可能性があるというものだ。

　既に悪用コードがインターネット上で公開されており、これを使うとWindows上の任意のコマンドを実行することができる。また、このコードを修正することで、リモートからコマンドプロンプトの実行が可能であったという報告もあった。

　攻撃の方法としては、悪用コードを仕掛けたページで「[F1]キーを押してください」といった文面をWeb上に書き、ユーザーに[F1]キーを押させる必要がある。ただし、ユーザーは疑わずにそれを実行してしまいそうであり、その意味では多くのユーザーにインパクトを与えたゼロデイ脆弱性だったが、これで対応が行われたわけだ。

　米SANSなども至急のパッチ適用を勧告しているが、確実に早めの適用が必要な修正パッチだと言えるだろう。

●MS10-020：SMBクライアントの脆弱性（980232）

　このセキュリティ更新は、2009年11月に公開されたセキュリティアドバイザリ「977544」で報告されたゼロデイ脆弱性を含む、SMBに関する複数の脆弱性に対応する。

　セキュリティアドバイザリで報告された脆弱性は、Windows 7およびWindows Server 2008 R2に存在するもの。SMBのKeAccumulateTicks関数に問題があり、SMBサーバーからクライアントに向けて無限ループを引き起こすようなパケットを送信することで、DoS攻撃が可能になるというものだ。

　この脆弱性は、リモートコード実行でPCを乗っ取るような危険なものではなく、MSRCでも「一貫性のある悪用コードは作りにくい」と評価している。しかし、SMB2サービスを無効にした場合でも影響を受ける可能性があり、回避策もサービスの利用に影響があるものだったため、多少やっかいな脆弱性だったが、今回正式に修正パッチが提供された。

　ちなみに、このセキュリティ更新の最大深刻度は、上から2番目の“重要”で、“緊急”ではない。これは、万一悪用された場合の影響がリモートコード実行ではなくDoSであることなどが理由と考えられるが、修正パッチはゼロデイ攻撃への対応であることもあるので、早めの適用を薦めたい。

●MS10-019：Windowsの脆弱性（981210）

　最大深刻度“緊急”で、現在マイクロソフトがサポートしているすべてのバージョンのWindowsに影響があるという点で、注意が必要なセキュリティ更新だ。このセキュリティ更新では、以下の2つの脆弱性に対応する。

・WinVerifyTrust Signature Verificationの脆弱性 - CVE-2010-0486
・Cabviewの破損の検証の脆弱性 - CVE-2010-0487

　これらの脆弱性は、Windowsでのファイル検証に関するもので、実行ファイルまたはCAB形式ファイルの署名に対する検証を回避して、実行させることを可能にするというものだ。インストールファイルなどが改ざんされていないかを検証する仕組みとして用いられているが、これを回避することによって、結果としてリモートで改ざんされたコードが実行される危険性がある。

　今のところ、この脆弱性を悪用したコードは出回っておらず、Exploitability Index （悪用可能性指標）は2つの脆弱性とも「2 - 不安定な悪用コードの可能性」となっている。悪用コードを作成したとしても、確実にそれを実行できるというものではない。また、万一攻撃コードが出回った場合でも、悪用シナリオとしては、必ずユーザーの操作が必要となるため危険性は低いのだが、十分注意が必要な脆弱性だと考えておくべきだろう。

　なお、MSRCによれば、Windows UpdateやMicrosoft Updateで配布しているファイルは、署名によるチェックだけでなく追加のチェック機構があるため、この影響を受けないとしている。もし波及していたら、Windowsのセキュリティの要といえるWindows UpdateやMicrosoft Updateの信頼性の問題になっていたわけだが、その点は安心して良いようだ。

●MS10-026：MPEG Layer-3コーデックの脆弱性（977816）

　このセキュリティ更新で対応する脆弱性は、Windows XP/2000およびWindows Server 2008/2003に存在するもので、深刻度は“緊急”となっている。Windows 7およびWindows Server 2008 R2、Windows Server 2008/2003のItanium版には影響しない。

　脆弱性の内容としては、DirectShowおよびFraunhofer IIS MP3コーデック（l3codecx.ax、L3codeca.acm、L3codecp.acm）でデータを解釈する箇所に問題があり、ユーザーが特別に細工されたAVIファイルを開いた場合、悪意のコードを実行させられる可能性があるというものだ。

　攻撃方法としては、たとえば攻撃用のAVIファイルをWebページに貼り付けて置くといった手段が考えられる。ユーザーが、Webサイトを閲覧して音楽あるいは動画が再生されると、結果として悪用コードを標的PCで実行させることが可能となるからだ。悪用コードはユーザー権限で実行されるが、ユーザーが管理者権限でWindowsにログオンしていた場合、結果としてユーザーのPCを乗っ取ることも可能となる。

　この脆弱性の技術的な情報はこれまで一般には公開されておらず、現在までのところ、悪用コードが作成された形跡はない。しかし、Webからのコード実行が可能で、Exploitability Indexも「1 - 安定した悪用コードの可能性」となっており、技術的な詳細が明らかになった場合には、悪意のユーザーにとって使いやすい脆弱性であると考えられる。警戒し、確実に修正パッチを適用すべき脆弱性だと言っていいだろう。

●MS10-027：Windows Media Playerの脆弱性（979402）

　このセキュリティ更新では、「Media Playerのリモートでコードが実行される脆弱性 - CVE-2010-0268」を修正する。この脆弱性は、Windows Media Player 9に存在しており、このバージョンのMedia PlayerがインストールされているWindows XP/2000が影響を受ける。

　Exploitability Indexは「1 - 安定した悪用コードの可能性」となっているが、この脆弱性の技術的な情報は一般には公開されていなかったもので、現在までのところ、悪用コードが作成された形跡はない。

　脆弱性の内容としては、Windows Media PlayerのActiveX コントロールに問題があり、Webサイトにホストされている特別な細工がされたメディアコンテンツにより、リモートコード実行が可能となってしまうというものだ。

　攻撃方法としては、前述の「MS10-026」と近いものだが、この脆弱性はWindows Media Player 9のみに影響があり、それ以降のバージョンのWindows Media Playerには影響がない。なんらかの事情がない限り、バージョンアップして利用する方が、脆弱性におびえるよりはベターではないだろうか。