前編に続いて、今月のMicrosoft Updateの内容を確認する。最大深刻度が緊急のもの8つのうちの残りの5つだ。また、重要とされた3つから、影響範囲の広い「MS06-030」を取り上げておきたい。
● MS06-024:Windows Media Player の脆弱性により、リモートでコードが実行される(917734)
この脆弱性は、iDEFENSE LabsとGreg MacManus 氏によって報告されたもので、Windows Media Player 9/10で深刻度が「緊急」、7.1 と Windows Media Playerfor XPでは深刻度が「重要」となる脆弱性だ。
Windows Media PlayerがPNG形式画像ファイルを操作する際に、システムスタック上にバッファを取得、そしてそれを解放する方法に問題があり、バッファオーバーフローを起こす可能性がある。この脆弱性を利用して不正なPNG形式画像ファイルをWindows Media Playerに読ませることで、任意のプログラムを実行させることができ、PCを乗っ取ることが可能だ。
iDefenceによれば、同様に不正なPNGファイルをWindows Media Playerに読ませることで、リモートからPCで任意のプログラムを走らせることができる脆弱性として2006年2月に公開されたセキュリティ情報「MS06-005」があるが、別の脆弱性で「MS06-005」を適用しても「MS06-024」の脆弱性を塞ぐことはできない、ということだ。
ただし、内容的にかなり似通っているところから考えると、技術的におそらく似ている内容で「MS06-005」から類推できる類の、プログラム実装上の問題である可能性があると見るべきだろう。
ちなみに、「MS06-005」の場合、2つのセキュリティ更新による、パッチと情報の公開から数日でインターネット上にexploitコードが公開された。この「MS06-024」もかなり早い時期に作られる可能性を考えて、できるだけ早めにセキュリティパッチの適用を考えるべきだろう。
● MS06-025:ルーティングとリモートアクセスの脆弱性により、リモートでコードが実行される(911280)
Windows 2000で深刻度が「緊急」、Windows XPとServer 2003で「重要」となる脆弱性情報だ。
ルーティングとリモートアクセス(RRAS)は、Windows上で2枚のLANカードを使ってルータや簡易ファイアウォールを実現できる機能だ。
インターネット接続共有を利用しているPCも、この「ルーティングとリモートアクセス」機能が有効となるため、危険にさらされることになる。ただ、Windows XPでは深刻度は「重要」と低いので、やはり一番警戒が必要なのはルータとして利用しているWindows 2000ということになるだろう。
内容としては、以下2つの脆弱性ということになる。
・RRAS メモリの破損の脆弱性 - CVE-2006-2370
・RASMAN レジストリの破損の脆弱性 - CVE-2006-2371
いずれもこのサービスを実現しているプログラムのバッファの管理の問題があり、インターネット接続共有やルーティングとリモートアクセスを利用しているPCに、不正なデータを送ることで、特にWindows 2000では任意のコードを実行できる可能性がある、とされている。
すでに現在、世間では主流のOSはWindows XP、Server 2003となってしまっているが、現在でも(特にルータ代わりに使うなどの用途では)Windows 2000は意外と使われ、さらにソフトがアップデートがされない傾向にある。そのような機械が存在しないように、管理者はこまめにアップデートするように気をつけるべきだろう。
なお、一部のニュースサイトでは、このパッチを利用した後で、ダイアルアップ接続の利用ができなくなったユーザーがいるとの報告を受けている、という記事が掲載されているようだ。もし、ダイアルアップを利用しているマシンにインストールする場合は、事前に情報を集めてからのほうがいいかもしれない。
● MS06-026:Graphics Rendering Engine の脆弱性により、リモートでコードが実行される(918547)
Symantec 社の Peter Ferrie 氏によって報告された、脆弱性情報だ。
「MS06-001」と同様に、「画像とFAXビューア」で表示すると不正なプログラムが実行される危険性があり、この画像を含むWebページをブラウザで表示させたり、メールとして送られた画像ファイルを表示してもやはり実行される恐れがあるという、かなり危険なセキュリティホールだ。ただし、Windows 98、98 SE、Meのみが対象となる脆弱性だ。
ちなみに対象となるOSでは、いずれも深刻度は「緊急」だ。
原因としては、「MS06-001」と同様であることが考えられる。ちなみに、「MS06-001」のセキュリティホールを突くexploitコードはインターネット上に公開されており、同様に「MS06-026」でも、作られる可能性はある。
すでに主流の位置からは遠く、セキュリティ更新の対象としては来月の7月で最後になるこれらのOSだが、今月と来月のWindows Updateは忘れずにかけておくべきだろう。
● MS06-027:Microsoft Word の脆弱性により、リモートでコードが実行される(917336)
知られていない脆弱性をコンピュータウイルスなどの攻撃コードに利用される、いわゆる「0-day攻撃」に登場によって脆弱性の存在が確認され、「マイクロソフト セキュリティ アドバイザリ (919637)(Microsoft Word の脆弱性により、リモートでコードが実行される)」として公表された。
とりあえずの対処として、「セーフモードで利用する」「メールソフトのエディタとしてWordを無効にする」などの対処方法が提供されていたWordの脆弱性に対して、正式にセキュリティパッチが提供された形だ。
深刻度はWord 2000で「緊急」、Word 2003/2002で「重要」とされている。
この脆弱性は、Microsoft Word 2003/2002/2000(Office XP/2003)に存在する。不正なオブジェクト ポインタを悪用し、ファイルを読み表示したPC上で、任意のプログラムを走らせることが可能になる、というものだ。Wordを利用しているユーザーがadministratorである場合には、管理者権限も奪うこともできる。
ちなみに、この脆弱性が使われたのは、W97M_MDROPPER.ABという電子メールに添付されるタイプのウイルスで、このウイルスはファイルが開かれると、プログラムを実行し、"localhosts.3322.org"への自分自身と登録するとともに、Windowsにバックドアを作る。
ウイルス自体は、それほど流行はしなかったようだが、ウイルスはrootkitの仕組みを利用してユーザーからは見えないように仕込まれる、という凝った作りになっており、流行すれば危険なウイルスだったかもしれない。その点から考えると、この「MS06-027」は、至急セキュリティパッチを適用すべき危険な脆弱性であると考えるべきだろう。
● MS06-028:Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (916768)
最大深刻度は「緊急」で、PowerPoint 2000で深刻度「緊急」、2004/2003/2002 for Mac、v.X for Macでは「重要」とされている脆弱性だ。
Symantec、European Aeronautic Defence and Space Company のNicolas Ruff 氏、Fabrice Desclaux 氏および Kostya Kortchinsky 氏によって報告された。
この脆弱性は、PowerPoint で、不正な形式のレコードを使用してリモートでコードが実行される脆弱性とされている。詳細な情報は公開されていないが、PowerPoint内部のオブジェクト管理中のメモリの取得および解放の部分に問題があるようだ。この脆弱性を突くPPT形式ファイルを読み込ませることで、任意のプログラムを実行させることが可能になる。
PowerPointを操作する際にadministratorでWindowsにログインしていると、管理者権限を持つユーザーしか使えないコマンドなども、不正なプログラムから利用可能になるとされている。
余談だが、こういう例を考えると、多くのWindows XPプリインストールPCのように、ユーザーが管理者権限で使うことが当たり前のようになっている環境というのは、セキュリティを考えると危険なのではないかと思えてくる。
● MS06-030:サーバーメッセージブロックの脆弱性により、特権が昇格される(914389)
6月のセキュリティアップデートで緊急とされた8件について内容をみてきたが、「MS06-030」は重要にレーティングされている脆弱性だが、現在最も普及しているOSが影響を受ける。今回は数が多いため、緊急の脆弱性について解説しているが、「MS06-030」については影響範囲が広いので取り上げておきたい。
「MS06-030」は、Windowsのファイルやプリンタの共有で使われているSMBドライバの内部にある脆弱性を利用したもので、不正なメッセージを送りつけることで、ユーザー権限を管理者権限に昇格できるという脆弱性だ。
影響を受けるシステムは以下の通りで、現在現役のOSほぼ全てといっていいだろう。
・Windows 2000 Service Pack 4
・Windows XP Service Pack 1、2
・Windows XP Professional x64 エディション
・Windows Server 2003、SP1
・Windows Server 2003 x64 エディション
攻撃コードがすでに存在するが、コード自体は非常にあっさりしたもので、理解が容易だ。これのみで悪用される可能性は低いが、他の脆弱性を突くコードとの組み合わせで、後々使われる可能性は十分にある。緊急ではなく重要とされているが、確実に適用しておきたい。
■URL
MS06-024
http://www.microsoft.com/japan/technet/security/bulletin/ms06-024.mspx
MS06-025
http://www.microsoft.com/japan/technet/security/bulletin/ms06-025.mspx
MS06-026
http://www.microsoft.com/japan/technet/security/bulletin/ms06-026.mspx
MS06-027
http://www.microsoft.com/japan/technet/security/bulletin/ms06-027.mspx
MS06-028
http://www.microsoft.com/japan/technet/security/bulletin/ms06-028.mspx
MS06-030
http://www.microsoft.com/japan/technet/security/bulletin/ms06-030.mspx
■関連記事
・ 6月のマイクロソフト月例パッチ、IEの累積的修正など12件を公開(2006/06/14)
・ 6月のMicrosoft Updateを確認する(前編)(2006/06/15)
( 大和 哲 )
2006/06/16 16:22
- ページの先頭へ-
|