 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
7月のマイクロソフトセキュリティ更新を確認する |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは、月例のセキュリティ更新プログラムのリリースと、セキュリティ情報の公開を7月9日に行なった。 今回公開されたセキュリティ情報は、最大深刻度が、4段階の深刻度レベルのうち上から2段階目の「重要」のものが4つ公開されている。ただし、このうち2つは、Exchange ServerとSQL Serverに関するものなので、一般的なユーザーのPCに関係するのは2つということになる。 また、今月はこのセキュリティ更新のほかに、前日の7月8日にセキュリティアドバイザリも1件公開されている。今月は、このセキュリティ更新2つと、セキュリティアドバイザリについて見ておこう。 ● MS08-037:DNSの脆弱性により、なりすましが行われる Windows XP SP2、Windows 2000などが対象の脆弱性で、DNSサーバー、クライアント両方に対応パッチが提供された(ただし、XPのサーバーなどは対象外)。脆弱性の内容としては、
DNSの不十分なソケットエントロピの脆弱性に関してだが、クライアントPCは、DNSサーバーとの間で、たとえば「internet.watch.impress.co.jp」というサーバー名から、IPアドレスを得るために通信を行っている。この際には、他の通信と間違うことがないように、ばらけたID番号を使用している。 このID番号のばらけ具合が「エントロピ」と呼ばれるわけだが、「不十分なソケットエントロピ」とは、つまりばらけ具合が十分でなかったために、ある程度推測可能な数字となってしまい、悪意のユーザーがDNSキャッシュに任意の値を書き込み、悪意のサイトに誘導することが可能になるというわけだ。 DNSキャッシュポイズニングの脆弱性に関しては、DNSサーバーがリモートサーバーの権限外の応答からのレコードを受け入れてしまうという脆弱性だ。 いずれの脆弱性もこれまで未公開だったもので、これまで悪用の形跡はないが、過去に似たような脆弱性は何度も発見されており、警戒を要するものだと言っていいだろう。 ● MS08-038:Windowsエクスプローラの脆弱性により、リモートでコードが実行される Windows Vista(SP1も含む)とWindows Server 2008という、最新のOSのみが対象となっている脆弱性だ。これらのOSでは、Outlookに保管されたメールやアドレス帳、予定、Wordなどの文書、写真などの画像ファイルや、動画などのマルチメディアファイルなどの検索を高速化する「Windows Search」と呼ばれる機能が搭載されている。 この機能が作成した検索ファイルをエクスプローラで開くことができるのだが、その際に悪意の第三者によって作成された検索ファイルを開いた場合、その検索ファイルに特殊な加工がされていると、ファイルを開いたコンピュータ上で任意のコードが実行できる可能性がある、という内容となっている。実行されたコードは基本的には実行したユーザーの権限で実行されるため、もし管理者権限で実行していた場合、PCを完全に乗っ取ることも可能だ。 なお、Windows SearchはWindows XPでもアドインとして存在するが、XPはこの脆弱性の影響を受けない。 なお、このセキュリティ更新は、マイクロソフトによると脆弱性番号「CVE-2008-1435」として一般に知られた脆弱性としているが、現在までのところCVE-2008-1435にひもづけされた脆弱性情報は今回のマイクロソフトのMS08-038以外にはなく、どこで公開されたかなどの情報も不明だ。 また、このセキュリティ更新では「CVE-2008-0951」についても修正を行っている。CVE-2008-0951は、Windows Vistaがシステムレジストリ中にある「NoDriveTypeAutoRun」というエントリを正しく扱えていないという問題で、本来であれば自動起動しないはずの設定でも起動するケースがあるのだという。 ● Access関連のActiveXコントロールのセキュリティアドバイザリも公開される 修正パッチ公開前日の7月8日には、「Snapshot Viewer for Microsoft AccessのActiveXコントロールの脆弱性により、リモートでコードが実行される」(955179)という内容のセキュリティアドバイザリが1件公開されている。このセキュリティアドバイザリは、ActiveXコントロールに存在する脆弱性を悪用した攻撃が行われており、マイクロソフトが現在調査しているという内容だ。 現在行われている攻撃は、対象が限定された標的型攻撃とのことだが、一般に向けて攻撃が行われる可能性もある。Accessを利用していて、かつ、不特定多数からメールを受けるようなユーザーや不特定のWebサイトにアクセスするようなユーザーは、マイクロソフトから提示された対策をとっておくべきだろう。 脆弱性の内容だが、Snapshot Viewer for Microsoft AccessのActiveXコントロールに存在するもので、リモートからの任意のプログラムが実行可能となる可能性があるというものだ。Snapshot Viewer for Microsoft Accessは、標準、またはランタイムバージョンのAccessがなくても、Accessレポートスナップショットを表示できるソフトだ。 なお、対象となるSnapshot Viewerは、Access 2003/2002/2000に含まれるほか、マイクロソフトが無償で配布しており、Webサイトからダウンロードできる。Accessユーザーだけでなく、直接Snapshot Viewerをインストールしたユーザーも対策が必要だ。 なお、対策方法だが、マイクロソフトによれば、ActiveXコントロールの動作を防ぐ「Kill Bit」を設定すればよい。詳しくはセキュリティアドバイザリを確認してほしいが、システムレジストリの以下のレジストリキーに、Compatibility FlagsとしてDWORD値で「00000400」を設定すればよいようだ。
マイクロソフトでの検証作業が済み、この対策で正しいことが確認されたら、来月以降のセキュリティ更新として同様のKill Bit設定プログラムが提供されることになるだろう。 関連情報 ■URL マイクロソフト 2008年7月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-jul.mspx マイクロソフトセキュリティアドバイザリ(955179) http://www.microsoft.com/japan/technet/security/advisory/955179.mspx ■関連記事 ・ マイクロソフト、7月の月例パッチ4件を公開(2008/07/09) ・ Access関連のActiveXコントロールに脆弱性、MSがアドバイザリ公開(2008/07/08)
( 大和 哲 )
- ページの先頭へ-
|