11月12日、マイクロソフトが月例のセキュリティ更新プログラムのリリースと、セキュリティ情報の公開を行なった。
今回は、セキュリティ更新プログラムが2件公開された。そのうち1件は、Microsoft XMLコアサービス(MSXML)に関するもので、2007年から知られていた既知の脆弱性への対応も含んでいる。もう1件はSMBの問題で、ファイル共有などを利用している場合に、攻撃者が悪意のサーバーを立てて、ログオンしてきたユーザーの権限を取得することができてしまうというものだ。
今月は、公開された2件のセキュリティ情報について、詳細を確認しておこう。
● MS08-069:Microsoft XMLコアサービスの脆弱性
MS08-069は、WindowsでXMLをハンドリングするためのソフトウエア、MSXMLに関する3件の脆弱性を修正する。3件の詳細については以下で解説するが、このうち1件は既知の脆弱性で、むやみに恐れる必要はないが、今後の情報に注意しておく必要がありそうな脆弱性だ。
・MSXMLのメモリの破損の脆弱性 - CVE-2007-0099
セキュリティ関係のメーリングリスト「full-disclosure ML」で報告された脆弱性で、内容としては「IE6を競合状態に陥らせ、ハングアップさせることができる」というものだ。脆弱性としては、2007年から知られていた既知のものとなっている。
競合状態とは、簡単に言えば、複数の作業を実行しようとしたときにお互いに誤った依存状態となってしまうことだ。この脆弱性の場合には、10~1000個の要素でネストされるXMLファイルを0.05~0.1秒程度の間隔で読み込み、Internet Explorer(IE)上でインラインフレームを連続して続けようとすると、複数の読み込み作業が同じワークエリアを参照・変更してしまい、IEがハングアップに陥るという。
今回、このIEがハングアップする際にリモートコード実行の可能性があるとして、深刻度が最も高い「緊急」と判定された。
この脆弱性にはExploitコードが公開されているが、内容としては「IEをハングアップさせる」もので、リモートコードを実行できるようなものではない。その意味では、実証コードが公開済みであるからといって、それほど厳重な警戒ではなくてもよいかもしれない。
また、もともと競合状態でのハングアップとして知られていた内容でもあることからわかるように、このスクリプトを複数回実行してしまうと競合状態に陥り、悪意の第三者の思うようにはこの脆弱性を悪用できない可能性が高い。その意味で、Exploitability Index(悪用可能性指標)も最高の「1」ではなく、ワンランク下の「2」が付けられているようだ。
ただし、実証コードは非常に単純なJavaScriptで、内容の把握も簡単であるという点には注意が必要だろう。
なお、この脆弱性は、MSXML 3.0のみが対象となっていて、その他のバージョンは対象外となっている。
・MSXML DTDのクロスドメインスクリプティングの脆弱性 - CVE-2008-4029
一般には情報が公開されていない脆弱性のため詳細は不明だが、マイクロソフトから公開された脆弱性情報によると、XMLを読み込む際に外部DTDを読み込む際などに内容の置き換え方法に問題があり、クロスドメインスクリプティングが可能になる脆弱性があるのではないかと考えられる。
この脆弱性は、MSXML 3.0および4.0が対象となっている。内容がクロスドメインスクリプティングで、最悪のケースでもなりすましや情報漏洩の可能性はあるものの、PCの完全乗っ取りなどは考えにくいためか、この脆弱性の深刻度は上から2番目の“重要”となっている。
ただし、スクリプトで脆弱性を悪用できることを考えると、「どうすれば悪用可能なのか」さえ分かれば、比較的楽に悪用できる脆弱性ではないかと思われる。マイクロソフトから示されている脆弱性の悪用可能性指標も、安定して悪用が可能な「1」とされているように、もし詳細な技術情報が公表された場合には、その後はしばらく警戒が必要となることが考えられる。インターネット上での情報などにしばらく留意が必要となる脆弱性情報だろう。
・MSXMLのヘッダーリクエストの脆弱性 - CVE-2008-4033
これも一般には非公開の脆弱性だが、対象となるソフトウエアのバージョンが多く、MSXMLのバージョン3.0~6.0に影響がある。
脆弱性の内容としては、MSXMLがHTTPによるファイル要求をする際に、要求ヘッダーにフィールドとして特定のデータが設定されることでセッション状態が破損し、情報漏洩が起こる可能性があるというものだ。
公開されている情報は少なく、XMLファイルから外部のファイルを参照するようなシチュエーションで発生するのか、それとも最初のXMLファイルの読み込みで発生するのかなど、悪用するユーザーではなく、一般のセキュリティに関心のあるユーザーが知りたいと思うような情報についても公開されていない。ただ、いずれにしても、この脆弱性を悪用するにはWebサーバー側で情報を詐取するような工夫が必要になりそうだ。
また、マイクロソフトが公表する悪用可能性指標は「2」とされており、悪用コードを安定して使うことは難しいと思われるため、それほど警戒する必要はないかもしれない。
● MS08-068:SMBの脆弱性
MS08-068では、ファイル共有などに用いられるSMBプロトコルの脆弱性を修正する。脆弱性の最大深刻度は2番目に高い“重要”で、すでにWindows XP用の悪用コードも公開されているという。
この脆弱性は、SMBプロトコルでの通信において、ユーザー資格情報の信頼性を確認するために用いられる「NTLM認証プロトコル」についての、応答データに対する認証の問題だ。NTLM認証ではチャレンジレスポンス認証メカニズムを採用しているのだが、サーバー上で細工することにより、ログオンしてきたユーザーの権限を取得することができてしまうという。今回の修正パッチでは、SMB認証の応答に対する認証方法を変更することにより、脆弱性を修正している。
ファイル共有などに用いられるSMBプロトコルのため、悪用するためにはほとんどの場合には、攻撃者が同一LAN内に悪意のサーバーを立てる必要がある。悪用するとしても攻撃範囲が限定的になり、それほど脅威にはならないだろうが、注意しておくべき脆弱性だろう。
関連情報
■URL
マイクロソフト 2008年11月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx
■関連記事
・ マイクロソフトが11月の月例パッチ公開、“緊急”を含む2件(2008/11/12)
( 大和 哲 )
2008/11/12 15:15
- ページの先頭へ-
|