 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
10月のマイクロソフトセキュリティ更新を確認する |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
● 緊急は3つ。インターネット上で既知の問題も含まれる マイクロソフトが、月例のセキュリティ更新プログラムとセキュリティ情報を10月12日未明に公開した。マイクロソフトはセキュリティ問題の深刻度を4段階にレベル分けしているが、今回のセキュリティ更新では、「緊急」に分類される脆弱性情報が3つ、「重要」が4つ、「警告」が2つ報告され、それぞれセキュリティ更新プログラムが利用できるようになった。 先月、Windowsの最大深刻度「緊急」のセキュリティホールに対するセキュリティ更新プログラムが1件リリースされる予定だったが、セキュリティ更新プログラムに品質上の問題が発見されたため中止されていた。今回のリリースに、この中止された更新プログラムも含まれており、マイクロソフトによれば【MS05-052】がその更新プログラムだという。 新しく公開されたセキュリティ更新は9つ。以下に挙げておこう。なお、今回リリースされた【MS05-044】および【MS05-052】の一部に関しては、exploitコードや、脆弱性の情報がすでにインターネット上に公開されており、対応が待たれていた。
● 【MS05-050】DirectShowの脆弱性により、リモートでコードが実行される(904706) 今回は、緊急の脆弱性の内容を見ていこう。「MS05-050」は、セキュリティコンサルタントを手がける米国の企業、eEye Digital Securityによって発見された。eEyeによれば、この脆弱性を悪用すると、Windows Media Player 9を利用していた場合、悪意のコードを埋め込んだAVI動画ファイルを再生させることで、閲覧者のPCに任意のコードを実行させることができるという。OSは、Windows XP/2000/Me/98SE/98およびWindows Server 2003 SP1が対象となる。 Administrator権限でコードが実行できるため、PCの乗っ取りが可能となる。Web上で動画を配信するなどの方法で、不特定多数のPCに悪意のコードを配布できるという、危険なセキュリティホールだったようだ。 タイトルに挙げられている「DirectShow」は、動画、音声などをストリーミング再生するためのプログラムで、DirectXに含まれるAPI群だ。 Windows Media PlayerはAVI動画ファイルを再生する際に、DirectShowに含まれるQUARTZ.DLLを呼び出す。eEyeによれば、このDLLが渡されたデータをバッファに確保する際に検証を十分に行なっていないために、メモリ中の本来書いてはならない場所に不正な値を書き込むことが可能になる。その結果、システムを乗っ取るようなコードを実行させることが可能になるという。 仕組みから考えると、Windows Media Player 9に限らず、同様にAVIファイルを再生するような他のソフトにも、同じ問題が発生している可能性が高いだろう。 この脆弱性については、eEyeのサイトでかなり詳細な技術情報が掲載されている。eEyeの情報を読んだ限りでは、ある程度の知識を持った悪意のユーザーであれば、悪意のプログラムを作成して配布するのはそう難しくはなさそうな印象を受けた。 緊急の脆弱性修正プログラムはどれについても同じことが言えるが、早急に適用すべきだろう。 ● 【MS05-051】MSDTCおよびCOM+の脆弱性(902400) 「MS05-051」は、Windows 2000ユーザーがおもに対象となる脆弱性だ。「MS05-051」は、WindowsのCOMに関する4つの脆弱性を修正する。適用すると、MS05-012など、いくつかのセキュリティ修正プログラムが今回の修正プログラム置き換えられる。なお、COMとは、Windowsのテクノロジのひとつで、コンポーネント化されたプログラムがお互いの機能を利用するための技術仕様だ。 「MS05-051」については、いずれもCOMに関連するものという理由で4つがひとまとめにされているが、それぞれの脆弱性の原因や脆弱性を悪用するための方法には、あまり関連はないようだ。脆弱性の内容だが、このセキュリティ更新では以下の4つの点が修正されている。 ・MSDTC の脆弱性 ・COM+ の脆弱性 ・TIP の脆弱性 ・分散化された TIP の脆弱性 任意のコードを実行できてしまう「緊急」に相当するのは、MSDTCの脆弱性と、COM+の脆弱性だ。ただし、MSDTCの問題は、Windows 2000でのみリモートからのコード実行ができるが、Windows XP SP1、2003 Serverでは、デフォルト設定ではPC内部からでないと、このコードを実行できない(設定が変更されていればWindows 2000と同様リモートからも可能)ため、これらのOSでは「重要」ランクとされている。Windows XP SP2、2003 SP1ではこの脆弱性は存在しない。COM+のほうもWindows 2000のみで「緊急」とされている問題だ。 また、残り2つはDoSを引き起こすことができる問題で、Windows 2000で警告、XPなどでは注意とされている。 ちなみに、DTCはDistributed Transaction Coordinator、TIPはTransaction Internet Protocolの略で、複数のプラットフォームにまたがるCOMのために作られた仕組みとプロトコルだ。 MSDTCの脆弱性は、「MS05-050」で修正されたDirectShowの脆弱性同様、eEyeがマイクロソフトに報告した問題だ。eEyeによると、MSDTCサービスは、TCPポート3372を使って他のプログラムからの呼び出しを待っているが、この機能を受け持つDTCインターフェイスプロクシ(MSDTCPRX.DLL) が、大量にメモリをリクエストされた際の挙動に問題があり、PCのメモリ中にコードを書き込まれてしまい、実行されてしまうおそれがあるという。 このことから、「インターネットに接続しただけで感染する」タイプのウイルスなどに悪用が可能になるセキュリティホールのようだ。ただし、基本的にWindows 2000のみの問題なので、悪用されても大流行するウイルスにはならないだろう。 また、COM+の脆弱性は、ArgenissのCesar Cerrudo氏によってマイクロソフトに報告された問題で、Windows 2000とWindows XP Service Pack1以前では、リモートから任意のコードを実行し、Administratorまで権限を昇格できる脆弱性だ。その他のOSの場合は、基本的にローカルでの攻撃のみが可能となる。 やはり、「インターネットに接続しただけで感染する」タイプのウイルスなどに悪用されることが考えられるが、こちらも最新のOSであるWindows XP Service Pack2やWindows Server 2003では感染しない。このため、大流行ウイルスの原因となる可能性は低いだろう。 【お詫びと訂正】 初出時、COM+の脆弱性について、リモートからコード実行が可能となるのは「Windows 2000のみ」との記述がありましたが、「Windows 2000およびWindows XP Service Pack1以前」の誤りでした。お詫びして訂正いたします。 ● 【MS05-052】IEの累積的セキュリティ更新プログラム(896688) 「MS05-052」は、Internet Explorerの問題を修正するセキュリティ更新だ。このセキュリティホールは、悪意のあるWebページを作成し、表示させたユーザーのPC上で任意のコードをリモートで実行する可能性があるとされている。この脆弱性については、悪用は比較的容易なので、確認できたら速やかにインストールした方が良いだろう。というのも、これまで確認されてきた脆弱性に非常によく似た点があり、悪意のユーザーが、類推でこのセキュリティホールを見つけてしまう可能性が高いからだ。 今回修正された脆弱性は、Internet Explorerが、インスタンス化が意図されていないCOM オブジェクトをインスタンス化してしまうために、リモートでコードが実行されるという脆弱性だ。 この問題は8月に指摘されており、kill bitの設定によって問題を回避する方法を示したセキュリティアドバイザリが公開されていた。その後、「意図されていないのにインスタンス化されるCOMオブジェクトのCLSID」が複数報告されたため、これらもカバーした累積的更新プログラムが今回リリースされたようだ。 これまでに公開されている脆弱性情報から、悪意のプログラムが作りやすい脆弱性だと思われ、また、個人的には他にも同様に危険なCLSIDがまだあるのではないかと思われる問題だ。しばらくは、この脆弱性関連の情報には注意した方がいいだろう。 なお、このセキュリティ更新プログラムをインストールする際に、「問題が発生する可能性がある」という。この点についてマイクロソフトに確認したところ、Windows Updateを利用して修正プログラムを適用している場合には問題はないとのことだ。 問題が発生する可能性があるのは、サポート窓口などを通じてロールアップ修正プログラムを入手し、適用している場合だという。このため、該当する人は少ないと思われるが、該当する場合は、技術情報「897225」にある手順に従って修正プログラムを適用しよう。 関連情報 ■URL Windows Update http://windowsupdate.microsoft.com/ 2005年10月のセキュリティ情報(マイクロソフト) http://www.microsoft.com/japan/technet/security/bulletin/ms05-oct.mspx ■関連記事 ・ マイクロソフトのウイルス駆除ツール、亜種を含む36種類のAntinnyに対応(2005/10/12) ・ マイクロソフトが9件のセキュリティパッチ公開、“緊急”は3件(2005/10/12)
( 大和 哲 )
- ページの先頭へ-
|
||||||||||||||||||||||||||||||||