2月のマイクロソフトのセキュリティ更新が2月14日未明に公開された。
今回公開されたセキュリティ更新は12件。うち最大深刻度「緊急」が6件、「重要」が6件となっている。ゼロディ攻撃に対応した緊急セキュリティ情報である3つのセキュリティアドバイザリ「929433:Wordの脆弱性」、「932114:Word 2000の脆弱性」、「932553:Officeの脆弱性」に対応したセキュリティ更新も「緊急」として今回提供されている。とくにOfficeユーザーであるなら、確実に適用を行なうべきだろう。
なお、今回公開件数が多いのは、前回事前予告されながら公開されなかった更新も含まれているためと思われる。前回予告されたが公開されなかったセキュリティ更新4件の内訳は、Windows関連2件、Windows/Visual Studio関連1件、Windows/Office関連1件だった。
WindowsやOffice関連は毎回のように公開されているためわからないのだが、今回Visual Studio .NET 2002/2003に関するセキュリティ更新が公開されており、これがおそらく前回公開されなかったVisual Studioの更新ではないかと思われる。このあたりの情報が、セキュリティ更新や技術情報としては、マイクロソフトから公開されていないのは残念だ。
なお、ソフトとしてはいつものWindowsとOfficeのほかに、スパイウェア対策ソフトの「Windows Defender」、ウイルス対策ソフト「Windows Live OneCare」が含まれている。 この2つのソフトに関しては、エンジンや定義情報の更新を定期的に行ない、最新に維持している場合にはWindows Updateに頼らずとも脆弱性の更新は行なわれているはずだが、一応、その内容に関しては確認しておくべきだろう。
今月は、このセキュリティ対策ソフトのセキュリティ更新も含めて、深刻度緊急の6件について内容を確認していこう。
● MS07-008:HTMLヘルプのActiveXコントロールの脆弱性(928843)
BreakingPoint Systems の HD Moore 氏が発見した脆弱性で、ソフトウェアの脆弱性データベースCVE(http://cve.mitre.org/)では、「CVE-2007-0214」として登録されている。
内容としては、HTMLヘルプCOMオブジェクト中のパラメータチェックが十分でないために、リモートでコード実行が可能となるようなメモリ内容破壊が可能になるというものだ。
Windows XP/2000では管理者権限を含めて、リモートからコンピュータを完全に制御し得るという、致命的な影響のある問題となっている(Server 2003は既定でセキュリティ強化構成がされているためそのままでは影響を受けないが、XPなどと同様の設定に変更した場合影響を受ける可能性がある)。
つまり、攻撃者は、Webサイトにこの脆弱性を悪用するコードを含むActiveXを貼り付けておくことで、そのページを表示したコンピュータにトロイの木馬などの悪用プログラムを実行させることで、完全に乗っ取ることも可能となるということだ。
このセキュリティ更新の公開以前には、この脆弱性の情報は一般には知られておらず、悪用された形跡もないが、もし悪用されるとインパクトの大きな悪意のソフトとなる可能性がある。確実に更新を適用しておくべきだろう。
● MS07-009:Microsoft Data Access Componentsの脆弱性(927779)
Windows 2000 Service Pack 4、 Microsoft Windows XP Service Pack 2上の、Microsoft Data Access Componentsで深刻度「緊急」とされている脆弱性だ。
Microsoft Data Access Componentsは、略称で「MDAC」とも呼ばれる。データベースをアクセスするためのコンポーネントで、マイクロソフトから無料で配布されている。データーベースを利用するWebベースのアプリケーションなどでよく使われ、たとえば、有名Webサイトが配布している資産用フリーソフト管理ソフトなどでも使われている。
このMDACのうち、前述のOSで、Microsoft Data Access Componentsのバージョン「2.5 Service Pack 3」「2.7 Service Pack 1」「2.8」「2.8 Service Pack 1」以下に挙げるサービスパックなどを利用していた場合に、この脆弱性が存在する。
一方、Windows Vista 上の Windows Data Access Components 6.0などはこの脆弱性の影響を受けない。
「MS07-009」の脆弱性に関しては、YAG KOHHA氏が問題の存在を証明する「PoCコード」を公開しており、2006年秋ごろからその存在が知られていた。CVEでは「CVE-2006-5559」として登録され、“リモートからのコードで外部から完全にPCを乗っ取ることができるという危険な脆弱性”とされている。
ただし、公開されたPoCコード自体は、「var a = new ActiveXObject('ADODB.Connection.2.7');」でActiveXオブジェクトを作り、長さ262,144バイトの長さの文字列変数を作って「a.Execute(b,b,b);」とすることでInternet Explorerをクラッシュさせることが可能――ということを示すもので、直接PCを乗っ取るようなハンドリング方法を示したわけではないようだ。
そのため、上記のPoCコードを利用してすぐさま悪意のプログラムに転用できるようなコードを作れるわけではなさそうだ。ただし、時間をかけて挙動を観察すれば、いずれ任意のコードを実行できるようなプログラムを作ることは可能そうだ。このセキュリティ更新は、早めに、確実に適用しておくべきだろう。
● MS07-010:Microsoft Malware Protection Engineの脆弱性(932135)
「MS07-010」は、マイクロソフトのセキュリティ製品に搭載されている「Microsoft Malware Protection Engine」にリモートからのコード実行を行ない、完全にPCを乗っ取ることが可能なヒープオーバーフローの脆弱性が存在するというもの。ISS X-Force の Neel Mehta 氏および Alex Wheeler氏によって発見された。CVEには、「CVE-2006-5270」として登録されている。
具体的には、これらのソフトのPDFファイル解析部分に整数オーバーフローの検知を忘れている部分があり、このような不正なデータを含むPDFファイルを走査させることでヒープオーバーフローを引き起こすことが可能となる。そのため最悪の場合、特権命令を含む任意のコードを走らせることが可能になるケースもあり得る、ということだ。
このMicrosoft Malware Protection Engineは、マイクロソフトが無料提供しているスパイウェア対策ソフト「Windows Defender」、有償で提供している「Windows Onecare」などにも含まれている。こうしたセキュリティソフトには、インターネットから読み込むファイルを全てチェックしたり、あるいは、PC内のディスクのフルスキャンを行なうようなプログラムも含まれている
つまり、インターネット上に存在するこのような悪意のPDFデータにユーザーがたまたまアクセスしようとしたり、あるいは、ディスク中に置いておくだけでも、これらセキュリティソフトによる自動スキャンの対象となり、PCが乗っ取られる可能性も考えられる。とんでもなく危険なセキュリティホールであると言えるだろう。
もっとも、Defenderなどのセキュリティソフトを利用しており、エンジンや定義情報の更新を定期的に行ない、最新に維持している場合にはWindows Updateを頼らずともパッチを自動的に当てる設定が可能だ。Defenderなどを利用している場合は、これらの自動アップデート設定がきちんと行なわれているかどうか、確認しておくべきだろう。
なお、ISS X-Forceの発表によれば、このWindows Defenderには、Windows Defender for Vistaも含まれるとされている。
Windows Vistaに関しては、従来のOSと比べてセキュリティ的に強いとされており、今月のセキュリティ更新でもVistaに関して指摘されているのはこれ1件だけなのだが、かといってセキュリティホールが全く皆無になるわけではないのだ、ということも理解しておくべきだろう。
● MS07-014:Microsoft Wordの脆弱性(929434)
このセキュリティ更新には、以下6つの脆弱性への対応が含まれている。
・Wordの不正な形式の機能の脆弱性「CVE-2006-0515」
・Wordの不正な形式の文字列の脆弱性「CVE-2006-5994」
・Wordの不正な形式のデータの構造の脆弱性「CVE-2006-6456」
・Wordカウントの脆弱性「CVE-2006-6561」
・Wordマクロの脆弱性「CVE-2007-0208」
・Wordの不正な形式の描画オブジェクトの脆弱性「CVE-2007-0209」
いずれもリモートでコードが実行される脆弱性で、Word 2000では深刻度:緊急とされている脆弱性だ。
このうち、Word の不正な形式のデータの構造の脆弱性「CVE-2006-6456」はウイルス「Mdropper.X」が利用している脆弱性だ。複数のサイトで、この脆弱性を利用した悪意のコードが貼り付けられ、それを読んだPCがトロイの木馬プログラムなど悪意のソフトを埋め込まれるというような被害が実際に出ている。
また、Word の不正な形式のデータの構造の脆弱性「CVE-2006-6456」および、Word カウントの脆弱性「CVE-2006-6561」についても、限定的ではあるが、ゼロディ攻撃が確認されたと報道されている。
そのほか、Word の不正な形式の文字列の脆弱性「CVE-2006-5994」、および、Word の不正な形式の機能の脆弱性「CVE-2006-0515」に関しては、セキュリティアドバイザリ「929433:Microsoft Word の脆弱性」および「932114:Microsoft Word 2000の脆弱性」で先に情報が提供されていたもの。今回、正式にセキュリティ更新プログラムが提供されたことになる。
以上からわかるように、この一連のWordの脆弱性は、すでに一般の悪意のユーザーにもよく知られており、悪用コードも広く流布されているなど、悪用するための環境もある程度そろっているという状況だ。それらを利用した悪意のコードの餌食にならないように、できるだけ速やかに更新プログラムを適用しておくべきだろう。
● MS07-015:Microsoft Office の脆弱性(932554)
「MS07-015」には、以下2つの脆弱性へのパッチが含まれている。
・PowerPointの不正な形式のレコード メモリの破損の脆弱性「CVE-2006-3877」
・Excelの不正な形式のレコードの脆弱性「CVE-2007-0671」
いずれもリモートでコードが実行される脆弱性で、Office 2000では深刻度「緊急」とされているものだ。
特に後者に関しては、すでに一般に内容が詳細に知られており、脆弱性を悪用した悪意のコードによる攻撃も確認されている。マイクロソフトでは、事前のセキュリティ情報として、セキュリティ アドバイザリの「932553:Microsoft Officeの脆弱性」を公開していたが、今回、正式にセキュリティパッチがリリースされたわけだ。
脆弱性の内容としては、Excelにあるファイルを開かせた場合、プレースホルダを解析する際に、意図した場所以外のメモリアクセスが行なわれて、Excelを利用しているユーザーの権限で、任意のコードを走らせることが可能になるというものだ。
つねづね言われていることだが、常時administrator権限でWindowsにログインしていると、このような脆弱性をついた悪意のコードを実行してしまったような場合には、悪意のプログラムにadministrator権限を乗っ取られる形になり、悪意の攻撃者にとってPCがほぼ完全にコントロール可能になってしまうことに気をつけよう。
● MS07-016:Internet Explorer用の累積的なセキュリティ更新プログラム(928090)
「MS07-016」で対応する脆弱性は以下の3つだ。
・COMオブジェクトのインスタンス化のメモリ破損の脆弱性「CVE-2006-4697」
・COMオブジェクトのインスタンス化のメモリ破損の脆弱性「CVE-2007-0219」
・FTPサーバーのレスポンス解析のメモリ破損の脆弱性「CVE-2007-0217」
いずれもリモートでコードが実行される脆弱性で、Internet Explorerのバージョンは、Windows XP、2000、Sever 2003が対象となる。Windows Vista上のIE7+は、対象外だ。
COMオブジェクトのインスタンス化のメモリ破損の脆弱性「CVE-2007-0219」は、5つのCOMオブジェクトのインスタンスでメモリ破壊バグがあり、任意のコードが実行可能となるような脆弱性があるというもの。BreakingPoint SystemsのH.D.Moore氏によって発見された。
なお、このセキュリティ更新プログラム「MS07-016」に関しては、サポート技術情報928090で、インストール時に発生する可能性がある既知の問題に関する説明がある。また、問題が起きた場合、これに問題に対する推奨される解決策に関する説明も記載されている。機械翻訳のためやや理解しにくいのだが、適用前に一応目を通しておくことをおすすめする。
関連情報
■URL
2007年2月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-feb.mspx
( 大和 哲 )
2007/02/15 15:36
- ページの先頭へ-
|