Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

1月のマイクロソフトセキュリティ更新を確認する


 1月のマイクロソフトのセキュリティ更新が1月10日未明に公開された。

 1月6日に公開された「マイクロソフト セキュリティ情報の事前通知」では全部で8件のセキュリティ更新を提供する予定としていたが、それら8件のうち、Windows関連のセキュリティ更新が1件と、Officeの3件、計4件のみが提供されることとなった。

 残り4件(Windows関連2件、Windows/Visual Studio関連1件、Windows/Office関連1件)の公開がどのような理由で見合わされたのか、また、今後の公開予定などの情報は残念ながら現時点では明らかにされていない。

 また、マイクロソフトセキュリティアドバイザリで公開されたWordの既知の問題も含めて、Wordにリモートコード実行が可能な脆弱性が12月にいくつか見つかっているが、今回のセキュリティ更新ではこれらの問題には対応していないようだ。臨時更新で対応する可能性もないとは言えないので、管理者などは引き続きアップデートには注意しておきたいところだ。

 では、1月のセキュリティ更新について、その内容を見ていこう。


MS07-001:Microsoft Office 2003 のポルトガル語(ブラジル)の文章校正プログラムの脆弱性により、リモートでコードが実行される(921585)

 最大深刻度は「重要」で、対象となるソフトは、ポルトガル語 (ブラジル) 版とマルチリンガル ユーザインタフェース版のOffice 2003、Microsoft Project 2003、Visioだ。

 普通、日本で使われている日本語版のOffice 2003では、このセキュリティ更新プログラムを適用する必要はなく、ほとんどの人には関係のない脆弱性情報だ。

 このセキュリティ更新プログラムが公開される以前から知られていた内容の脆弱性であり、悪用するための特殊なWordファイルを作成することも可能だろうが、日本語版しか使用しないユーザーがそうしたWordファイルを開いても悪影響はないと考えられる。

 「こんな脆弱性がある言語版も世界には存在する」程度に記憶にとどめておけばよいだろう。


MS07-002:Microsoft Excelの脆弱性により、リモートでコードが実行される(927198)

※注「MS07-002」については、適用した場合にExcel 2000で不具合が起こることが編集部のPCで確認された。詳しくは、こちらの記事を参照してほしい。

 このセキュリティ更新は、5つのExcelの脆弱性に対応するものだ。対象となるソフトは、Excel 2000、Excel 2002、Excel 2003のほか、Excel Viewer 2003、それにMac用のソフトであるExcel 2004 for MacおよびExcel v. X for Macが含まれる点に注意が必要だろう。

 なお、Excel 2000では5つの脆弱性はいずれも深刻度「緊急」、Excel 2003でCVE-2007-0027の脆弱性が存在しないが、それ以外の4つの脆弱性に関して深刻度は「重要」となっている。

 5つの脆弱性は、いずれも不正なファイルを開いた場合、開いたユーザーと同じ権限でその中に含まれる不正なプログラムが実行される可能性があるという問題のようだ。セキュリティ的な観点からみれば(今回の脆弱性への対応だけに限った話ではないが)、できれば普段のWindowsログオンは管理者ではなく、一般ユーザーなどで行なうようにすべきだろう。

 5つの脆弱性の内容を以下に挙げておこう。

・Microsoft Excel の不正な形式のIMDATAレコードの脆弱性 - CVE-2007-0027
  Excelのファイル解析部分、IMDATAの解釈部分に問題があり、不正な形式の IMDATA レコードを含むデータを開かせることでリモートからのコード実行が可能になる可能性がある。

・Microsoft Excel の不正な形式のレコードの脆弱性 - CVE-2007-0028
 Excelのファイル解析部分の問題で、データ検証が十分でないため、リモートからのコード実行が可能であるとされているが、具体的にどのようなデータを読み込ませると問題となるのかは公開されていない。

・Microsoft Excel の不正な形式の文字列の脆弱性 - CVE-2007-0029
 中国NSFocus Security Teamによってマイクロソフトに報告された脆弱性で、Excelのファイル解析部分の問題で、文字列データ検証が十分でないため、リモートからのコード実行が可能であるとされているが、具体的にどのようなデータを読み込ませると問題となるのかは公開されていない。中国語などマルチバイト文字に関連する脆弱性だろうか。

・Microsoft Excel の不正な形式の列のレコードの脆弱性 - CVE-2007-0030
 Excelのファイル解析部分の問題で、データ検証が十分でないため、リモートからのコード実行が可能であるとされている。この脆弱性はiDefenceによれば、いくつかのBIFF8レコードとして範囲外の数値を値に指定した場合の解釈が十分でないために、メモリ中に任意のデータを悪意のユーザが残すことができる、というもののようだ。

・Microsoft Excel の不正な形式のパレット レコードの脆弱性 - CVE-2007-0031
 上の脆弱性と同様、iDefenceによって発見された脆弱性だ。iDefenceによれば、BIFF8フォーマットの表計算データで、必要以上にパレットデータが存在した場合の検証に問題があり、不正な形式の パレットレコードを含むデータを開かせることでリモートからのコード実行が可能になる可能性があるという。


MS07-003:Microsoft Outlookの脆弱性により、リモートでコードが実行される (925938)

 このセキュリティ更新はOutlookの以下3つの脆弱性に対応している。

・Microsoft Outlook の VEVENT の脆弱性 - CVE-2007-0033
・Microsoft Outlook のサービス拒否の脆弱性 - CVE-2006-1305
・Microsoft Outlook の高度な検索の脆弱性 - CVE-2006-0034


 このうち、CVE-2007-0033とCVE-2006-0034がリモートでコード実行される可能性がある脆弱性、CVE-2006-1305を引き起こし得る脆弱性で、特に、CVE-2006-0034はOutlook 2000で深刻度が「緊急」(Outlook 2002/2003では「重要」)とされている脆弱性だ。

 CVE-2007-0033の「Microsoft Outlook の VEVENT の脆弱性」は、OutlookのiCal ミーティング リクエストのコンテンツの処理部分で十分に検証を行なっていないための開いているセキュリティホールで、特別に細工した .ICS (iCal) ファイル、または特別に細工した電子メールの本文に iCal の予定表の依頼のコンテンツを埋め込んだメールを作成し、Outlook のユーザーに受信させることで、リモートから任意のプログラムを実行させることができるというものだ。

 また、CVE-2006-1305の「Microsoft Outlook のサービス拒否の脆弱性」は、Outlookの電子メールのヘッダー情報を処理する方法に問題があるために引き起こされるものだ。具体的にどのようなデータを読み込ませることでサービス拒否攻撃が引き起こされるのかはマイクロソフトのサイトでは明らかにされていないが、脆弱性の存在自体は一般に知られていたものである、とされている。

 CVE-2006-0034の「Microsoft Outlookの高度な検索の脆弱性」は、Outlookの検索結果などが保管されている.ossファイルの解析の問題で、不正な形式で書かれた.ossファイルをOutlookに読ませることで、Outlookを利用しているユーザーと同じ権限で任意のプログラムを走らせることが可能になるという脆弱性だ。

 「Microsoft Outlookの高度な検索の脆弱性」以外は深刻度も緊急とされておらず、特に、Outlook 2002/2003ではこの脆弱性も「重要」程度の深刻度とされている。しかし、Outlookの場合は、パソコンのアプリケーションとしては最も使う頻度の高い、メール送受信のためのソフトウェアである以上、確実にセキュリティ更新を適用すべきだろう。特に、サービス拒否しか引き起こせないとはいえ、メールのヘッダ情報を細工するだけで、受信者のOutlookを落とすことができるCVE-2006-1305は、具体的なデータ作成方法が一部ではすでに知られている可能性も高く、手軽に悪用されてしまう可能性が高いことに留意すべきだろう。


MS07-004:Vector Markup Languageの脆弱性により、リモートでコードが実行される(929969)

 このセキュリティ更新で対応する脆弱性は、iDefenceがマイクロソフトに報告したもので、CVEではCVE-2007-0024 にアサインされている「VML のバッファ オーバーランの脆弱性」に関するものだ。

 インターネット上のWebサイトにこの脆弱性を悪用したHTMLファイルを置いて読み込ませたり、あるいはメールでこの脆弱性を悪用したファイルを送りつけて読ませることで、そのPC上に任意のコードを実行させて、乗っ取ることができる。

対象OSは、Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003で重要度「緊急」とされている。

 VMLの脆弱性ということでは昨年、「Microsoft Windows の Vector Markup Language の脆弱性(MS06-055)」というセキュリティ更新が提供されているが、この更新で解決しきれなかった同部分の問題を、今回の更新で対応している。

 脆弱性は、具体的にはVML(Vector Markup Language)の解釈などを行なうvgx.dll内にある。前回修正したはずの引数の検証部分で、2つの整数の引数についての検証が漏れており、これらを操作することで、スタック上に任意の値を書き込むことができてしまう、というものだ。

 「MS06-055」は2006年9月に臨時更新で提供されたセキュリティ更新だ。「MS-055」で対応したVMLの脆弱性は、悪意あるWebサイトやスパイウェアなどに利用され、ゼロディ攻撃として話題にもなったいわくつきの問題だ。

 今回の更新で対応する脆弱性は、前回対応したVMLの脆弱性ほど容易に悪用できるものではないかもしれないが、これまでの経緯を考えれば、できるだけ早めに適用すべきだろう。


関連情報

URL
  2007年1月のセキュリティ情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms07-jan.mspx
  MS07-001
  http://www.microsoft.com/japan/technet/security/bulletin/ms07-001.mspx
  MS07-002
  http://www.microsoft.com/japan/technet/security/bulletin/ms07-002.mspx
  MS07-003
  http://www.microsoft.com/japan/technet/security/bulletin/ms07-003.mspx
  MS07-004
  http://www.microsoft.com/japan/technet/security/bulletin/ms07-004.mspx


( 大和 哲 )
2007/01/10 16:40

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.