Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

マイクロソフトの臨時セキュリティ更新を確認する


 マイクロソフトは27日、臨時のMicrosoft Updateによるセキュリティ更新プログラム(修正パッチ)のリリースとセキュリティ情報の公開を行なった。

 月例では、セキュリティ更新のリリースは日本時間で毎月第2水曜日の未明に行なわれるが、臨時でこの時期に行なわれたことからもわかるように、今回提供されている2つの更新はいずれも、放置しておくとシステムに致命的な問題を引き起こしかねない内容のものだ。内容を大至急確認して、当てはまる場合には大至急適用すべきだろう。

 今回、提供されたセキュリティ更新プログラムは以下の2件。
 MS06-055は新規に提供され、最大深刻度は“緊急”。MS06-049は、修正版が提供されている。MS06-049は8月に提供が始まったものだが、適用したシステムでファイルを破壊することがあることが確認され、修正版の提供が行なわれた。


既に悪用されているVML脆弱性に対応「MS06-055」

 MS06-055について、もう少し詳しく見ていこう。

 この脆弱性は、Windows 2000、Windows XP(SP1、SP2)、Windows Server 2003で発見されたもので、リモートから任意のコードをPCに実行させることができる非常に危険なものだ。インターネット上のWebサイトにこの脆弱性を悪用したHTMLファイルを置いて読み込ませたり、あるいはメールでこの脆弱性を悪用したファイルを送りつけて読ませることで、そのPC上に任意のコードを実行させて、乗っ取ることができる。

 実際に、Webサイトや、スパイウエアなどで既にこの脆弱性を利用しているものが多く見つけられたという報告もあったようだ。

 脆弱性は、VML(Vector Markup Language)の解釈などを行なうvgx.dll内にある。Secuniaなどから公表されている情報を総合すると、具体的には、rect fillなどの命令の解釈を行なう際の文字列長を正しく解釈してスタックを確保することができておらず、例えば、
<v:rect style="width:20pt;height:20pt" fillcolor="red">
<v:fill method="AAAAAA…(非常に長く繰り返す)…">
とすることでスタックオーバーフローを起こし、スタック上に任意の値を書き込むことができてしまう、ということのようだ。

 さらにこの脆弱性の問題は、マイクロソフトがセキュリティ更新プログラムを提供する前に脆弱性の詳細が各所で公開され、ゼロデイ攻撃が行なわれていた形跡があることだ。この脆弱性が存在することを実証するために、インターネットでは各所で実証コードが公開されたのだが、解説を見てもわかる通り、この脆弱性を突くのにはそれほど複雑なコードなどは必要なく、比較的簡単に悪用が可能だったと思われる。

 また、多く使われているOSに共通して存在する脆弱性であることから、これからも、まだパッチを当てていないOSをターゲットにこの脆弱性を悪用したプログラムが作られ、使われる危険性を十分認識しておかなくてはならないだろう。その意味では、一刻も早い適用が必要なセキュリティ更新プログラムだ。


MS06-049、破壊されたファイルは修復されないので注意

 修正セキュリティ更新プログラムMS06-049は、このプログラムを適用した場合に、システムがファイルを破壊する可能性がある問題を修正したものだ。

 9月に入り、セキュリティアドバイザリで情報が提供されていたが、もう一度内容を確認し、必要な場合は再度最新版に適用し直すようにしよう。

 このセキュリティ更新プログラムは、8月にWindows 2000 SP4向けにリリースされたものだ。セキュリティアドバイザリで公表されていた技術情報によれば、以下の条件でファイルを書き込んだ場合、壊れたファイルを書くことがあるというものだ。
  • セキュリティ更新プログラム「MS06-049」をインストールしたPC
  • ファイルシステムにNTFSを利用している
  • NTFS圧縮ファイルを利用
  • 圧縮されたファイルのサイズが4KB以上
 ファイルが壊れた場合、バックアップを取っていなければ、元通りに直す手段はない。今回提供された修正版に関する技術情報にも、
注 : この更新プログラムを適用しても、既に破損しているファイルは回復しません。破損しているファイルを回復するには、セキュリティ更新プログラム920958をインストールする前に作成したバックアップからファイルを回復します。
とされている。非常に残念だが、この修正版を利用しても、ファイルバックアップを取っていない限り、このセキュリティパッチを適用してファイルが壊れた場合は、修正の方法がないことが明記されている。

 バックアップはPCのユーザー、管理者の責任で行なわなければならない必須のことだというのも理解はできるのだが、筆者としては、よりにもよってマイクロソフトがセキュリティパッチで、バックアップを取っていなければ回復さえできないような致命的な障害をもったプログラムを提供していたことは少々ショックだ。


セキュリティアドバイザリに、未解決の脆弱性が1件

 なお、9月のセキュリティ更新が公表されてから、セキュリティアドバイザリには2件の情報が公開されていた。そのうちの1件は、今回セキュリティ更新プログラムが公開されたMS06-055に関するものだが、もう1件についても見ておこう。

 これは、「Microsoft DirectAnimationパスのActiveXコントロールの脆弱性により、リモートでコードが実行される」というものだ。
 Direct Animation ActiveXコントロールのdaxctle.ocxには、DirectAnimation.PathControlの解釈部分でメモリの管理に問題があり、バッファオーバーフローを招くような脆弱性が存在していた、ということのようだ。Internet Explorer 6以前では、この脆弱性の悪用が可能となっている(現在ベータ版が配布されているInternet Explorer7では不可のようだ)。

 ActiveXの問題なので、対策としては例によって、killbitを設定するなどの方法があるようだ。

 いずれこの脆弱性にもセキュリティ更新プログラムが提供されるだろうが、それ以前に対策をしたい場合には、レジストリエディタからこのkillbitを設定するなど、アドバイザリに掲載されている対策方法を取るようにするといいだろう。


関連情報

URL
  MS06-055に関する情報
  http://www.microsoft.com/japan/technet/security/Bulletin/MS06-055.mspx
  MS06-049に関する情報
  http://www.microsoft.com/japan/technet/security/Bulletin/MS06-049.mspx
  マイクロソフト技術情報(925308)
  http://support.microsoft.com/kb/925308/
  マイクロソフトセキュリティアドバイザリ(925444)
  http://www.microsoft.com/japan/technet/security/advisory/925444.mspx

関連記事
9月のマイクロソフトセキュリティ更新を確認する(2006/09/14)


( 大和 哲 )
2006/09/28 12:47

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.