Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

7月のマイクロソフトセキュリティ更新を確認する


7月のMSセキュリティ情報

 マイクロソフトが、月例のセキュリティ更新プログラムとセキュリティ情報提供を7月13日未明に公開した。

 マイクロソフトはセキュリティ問題の深刻度を4段階にレベル分けしているが、今回は最高レベルの「緊急」に分類される脆弱性情報が3つ報告され、セキュリティ更新が利用できるようになった。

 そのうち2件はWindowsに影響を及ぼすセキュリティ情報、1件は Microsoft Officeに影響を及ぼすセキュリティ情報だ。また、以前公開された脆弱性情報1件についても更新がある。

 新規に公開された脆弱性情報は3件とも、コンテンツをWindowsに読ませることでシステムを乗っ取ることが可能になる危険なセキュリティホールで、特に1件に関してはすでに、このセキュリティホールを利用するサンプルプログラムであるexploitコードが広くインターネット上に出回っているという状況になっている。大至急、Windows Updateなどを利用してセキュリティパッチを適用する必要があるだろう。

 なお、余談だが、先月下旬から64bit版でないWindows XPでも、Windows Update v6に誘導されるようになったようだ。機能的に特に変わりはないので気付かない人も多いかもしれない。


新規公開された脆弱性情報

新しく公開された脆弱性情報は、以下の3つだ。

(1)MS05-035 Microsoft Wordの脆弱性により、リモートでコードが実行される
(2)MS05-036 マイクロソフトカラー管理モジュールの脆弱性によりリモートでコードが実行される
(3)MS05-037 JViewプロファイラの脆弱性によりリモートでコードが実行される

 以下では、それぞれの脆弱性をチェックしていこう。


【MS05-035】Microsoft Wordの脆弱性により、リモートでコードが実行される(903672)

 Wordには、文書内のフォント名を読み取り、適切なフォントで画面や印刷するために利用するルーチンが存在している。しかし、フォント名を解釈する部分でバッファ長をチェックしていない部分が存在しており、このため、非常に長いフォント情報を含むWord文書(.docファイル)を読み込ませることで、バッファオーバーフローを起こさせ、任意のコードをWindowsに実行させる脆弱性が存在する。

 MS05-035は、Microsoft Word 2000/2002にのみ存在する脆弱性で、セキュリティ更新もこれらに対してのみ適用になる。現在、最新版であるWord 2003や、そのビューワーであるWord 2003 Viewerにはこの脆弱性は存在しない。

 この脆弱性は、セキュリティ関連会社のiDefenceが発見した。iDefenceの解説によれば、この特殊な.doc文書中でスタックオーバーフローを起こすことはできるものの、メモリ中に書き込んだデータによってコアコード(悪意のプログラム内部にあり、システムを乗っ取って悪用を行なうコード)を呼び出すためのアドレスを特定するのが難しいことから、確実にシステムを乗っ取ることができるWord文書を作るのはさほど簡単ではないようだ。

 ただし、技術的には不可能なことではないので、セキュリティ更新を確実に当てて、対処しておくことに越したことはないだろう。


【MS05-036】マイクロソフトカラー管理モジュールの脆弱性によりリモートでコードが実行される(901214)

 Windows内部のカラー管理モジュール内に、ICCプロファイルのフォーマットのタグを検証するルーチンが存在するが、この部分に脆弱性が存在し、リモートでコードを実行される可能性がある。

 ICCプロファイルとは、あるデバイスがどのようにカラーを再現するかを記述したファイルで、例えば、ディスプレイとプリンタという具合に異なるデバイスを、アプリケーションで一貫したカラーマッピングを行なうことを目的に使われる。

 通常、Windowsでは.ICMという形式でファイルが利用されている。

 「Microsoftカラー管理モジュール中に未チェックのバッファが存在するためにこの脆弱性が起こる」という情報から考えると、悪用方法としては、Webサイトに悪意のコードを含むファイルを置いておき、なんらかの方法でユーザーに読み込ませることでリモートでのPCを乗っ取る、またはメールに悪意のコードを含むファイルを添付し実行させる、などが考えられそうだ。

 台湾のICST(Information & Communication Security Technology Center)のShih-hao Weng氏によって発見された脆弱性だが、現時点ではICSTのサイトでは、この脆弱性に関する解説などは公開されていない。


【MS05-037】JViewプロファイラの脆弱性によりリモートでコードが実行される(903235)

 MS05-037は、コンテンツ中に不正なObjectタグを含むコンテンツがInternet Explorerによって読み込まれ、JViewプロファイラのインスタンスが作成される際に、メモリ中に不正なデータを書き出した後で異常終了することがある、という脆弱性に対するセキュリティ更新だ。

 この脆弱性を突くことで、インターネット上の悪意の第三者が、ローカルシステムで悪意あるスクリプトコードを実行し、PCを乗っ取ることができる。

 MS05-037は、Secuinaなどのセキュリティコンサルタント会社のサイトでも「Extremely critical」(極めて致命的)とランクされた危険なものだ。修正パッチは確実に適用しておこう。

 この脆弱性については6月下旬、「903144 COMオブジェクト (Javaprxy.dll)により、Internet Explorerが異常終了する」として、セキュリティアドバイザリとして情報が公開されていた。

 このセキュリティアドバイザリは、マイクロソフトがセキュリティ更新プログラムを開発する以前に情報が公開されてしまい、さらに、この脆弱性の存在を実証するための実証コードがすでに広くインターネット上で公開されてしまったために公表された、いわゆる「0-day exploit問題」に対応するための情報だったのだが、今回正式にセキュリティ更新プログラムとして登録されたようだ。

 この問題は、Windowsに含まれるJViewプロファイラの本体である、Javaprxy.dllというCOMオブジェクトの実装に問題があり、Internet Explorerからこのオブジェクトが呼び出された場合にこの問題が表面化するというものだ。セキュリティアドバイザリで、7月5日から、セキュリティ上の問題となるInternet Explorerからの呼び出しを無効化するレジストリキーファイルが配布されていた。


 本誌7月6日付のニュース「Microsoftが『Javaprxy.dll』無効化パッチ提供、IEの深刻な脆弱性を回避 」でも報じられているように、本来ならば、根本的な対策としてはこのDLLファイルを改修して置き換えるべきであり、日本法人のマイクロソフトでは今回のパッチについて「脆弱性を根本的に解決するのではなく、あくまで回避するもの。根本的に解決するパッチについては、今後の提供を検討している」とコメントしていたのだが、結局、このパッチが、正式にセキュリティ更新プログラムとして配布されることになったようだ。

 なお、セキュリティ更新でなく、セキュリティアドバイザリが発行された段階で配布されたファイルを適用している場合、このセキュリティ更新は必要ない。方法としては、このファイルおよびセキュリティアドバイザリで提示された修正方法、つまり「システムレジストリを変更し、Javaprxy.dll COMオブジェクトを無効にしてInternet Explorerで実行されないようにする」という方法そのものをこの更新プログラムでも行なっているからだ。

 すでにインターネット上に公開されている、この脆弱性を利用するexploitコードを読む限りでは、この脆弱性を悪用するのは技術レベルが低くてもかなりたやすそうだ。筆者が見たコードはPerlで書かれており、悪意のオブジェクトタグを含むHTMLを出力するスクリプトになっていた。アセンブラでプログラムを書く技術があれば、このスクリプトのシェルを呼び出す部分をウイルスコードに置き換えるとすぐにでもウイルス配布用として通用するHTMLファイルが書けそうであると感じられた。

 その意味では、非常に危険なセキュリティホールであり、なるべく早めのセキュリティ更新プログラムの適用を行なうべき脆弱性だろう。


更新された脆弱性情報

 6月に公開された脆弱性情報も1件更新されている。MS05-033「Telnetクライアントの脆弱性により、情報漏えいが起こる(896428)」だ。

 MS05-033は、Services for UNIX 2.0とServices for UNIX 2.1が新たにセキュリティ更新プログラムで利用可能になったことに関する追加だ。また、6月27日には、Windows XP Professional x64 Edition向けのセキュリティ更新プログラムで、レジストリキーの修正が行なわれている。該当OSのユーザーは、一応マイクロソフトのサイトで情報を再確認しておいたほうがいいだろう。


関連情報

URL
  Windows Update
  http://windowsupdate.microsoft.com/
  2005年7月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-jul.mspx

関連記事
Microsoftが「Javaprxy.dll」無効化パッチ提供、IEの深刻な脆弱性を回避(2005/07/06)


( 大和 哲 )
2005/07/13 20:05

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.