 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
2月のマイクロソフトセキュリティ更新を確認する |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは11日、月例のセキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。 今回公開されたセキュリティ情報は「MS09-002」「MS09-003」「MS09-004」「MS09-005」の4件で、そのうち最大深刻度が最も高い“緊急”のものが2件、2番目に高い“重要”のものが2件となっている。 内容としては、緊急2件はInternet Explorer(IE)とExchange Serverに関するもの、重要2件はSQL ServerとVisioに関するものだ。 このうち、一般のユーザーにも関係してきそうなものは、「MS09-002」と「MS09-004」の2件と思われる。「MS09-004」はSQL Serverの問題だが、サーバーだけでなくアプリケーションにも使われ、再配布されているMSDE(SQL Server 2000 Desktop Engine)も対象に含まれるためだ。 では、この2件のセキュリティ情報について、さらに詳しく見ていこう。 ● MS09-002:Internet Explorer用の累積的なセキュリティ更新プログラム(961260) MS09-002では、以下の2件の脆弱性を修正している。
「CVE-2009-0075」の脆弱性は、Windows Vista/XPのIE7で深刻度“緊急”、64ビット版を含むWindows Server 2008/2003などで“警告”(4段階中の下から2番目)とされている。 この脆弱性は、IE7がスクリプトを実行する際に、特定の手順でオブジェクトを使用した場合、既に削除されているオブジェクトにアクセスできてしまうというものだ。これにより、ある特定の条件下では、メモリ破壊によって任意のコードを実行できる可能性がある。 悪意のコードは、スクリプトが実行された(つまりWebブラウザを操作していた)際に利用されていたユーザーの権限で実行される。この脆弱性を利用した攻撃を行うには、たとえばWebサイト上に削除されたオブジェクトにアクセスするようなスクリプトを含むHTMLデータを置き、攻撃したいユーザーにそのページを表示させる、というような手段を取ることになるだろう。 この種の脆弱性情報の場合、まず、どのオブジェクトが削除後にアクセスできるのかを知らないと悪意のユーザーは攻撃コードを作ることができない。また、この脆弱性に関しての情報は、これまでもインターネット上には公開されておらず、セキュリティパッチが配布された後も現時点ではその部分の情報は公開されていないので、悪用の可能性は低いと考えていいだろう。 ただし、Exploitability Index(悪用可能性指標)は「1 - 安定した悪用コードの可能性」と評価されており、さらにコメントとして「動作に一貫性のある攻撃コ―ドが容易に作られる可能性があります」とも記載されている。脆弱性情報がなんらかのきっかけで知られるようになった場合は、危険なコードが出回る可能性がある。セキュリティパッチは確実に適用しておくことが必要だ。 もう1件の「CVE-2009-0076」の脆弱性も、Windows Vista/XP上のIE7で深刻度“緊急”、64ビット版を含むWindows Server 2008/2003などで“警告”とされている。また、Exploitability Index(悪用可能性指標)も先ほどの脆弱性と同様に、「1 - 安定した悪用コードの可能性」「動作に一貫性のある攻撃コ―ドが容易に作られる可能性があります」と評価されている。 マイクロソフトのサイトではあまり詳しい情報が公開されていないが、脆弱性を報告したZero day initiativeなどによれば、IE7がXHTMLで書かれたページを標準準拠(strict)モードで解釈して表示している場合に、イメージや文字を拡大表示する「zoom」を含む特定のスタイル指示の組み合わせのCSSを読み込んだときにメモリ破壊を起こし、任意のコードを実行されるきっかけとなる可能性があるようだ。 この脆弱性は、マイクロソフトによれば、これまで未公開の脆弱性であり、悪用された形跡もないとされている。 しかし、IEのCSS解釈、特にzoomを含むレイアウト拡張は、表示がおかしくなったり、IEが落ちるなどバグが多いことが知られている。今回対応されたもの以外にも、IEのCSS処理には同様の脆弱性が存在する可能性もあることを疑っておくべきだろう。 ● MS09-004:SQL Serverの脆弱性により、リモートでコードが実行される(959420) SQL Serverについては、脆弱性情報と実証コードが一般に公開されたということで、マイクロソフトからセキュリティアドバイザリ「961040」が2008年12月23日に公開されていた。「MS09-004」は、この脆弱性を修正するものだ。脆弱性は、SQL Server 2005 SP2(64ビット版含む)、SQL Server 2000 SP4、MSDE 2000などに影響があり、リモートでコードが実行される可能性がある。深刻度については“重要”(4段階中の上から2番目)とされている。CVEには、「SQL Serverのsp_replwritetovarbinの制限付きメモリの上書きの脆弱性(CVE-2008-5416)」として登録されている。 なお、SQL Server 7、SQL Server 2005 SP3、SQL Server 2008については、この脆弱性は存在しない。 もともとこの脆弱性は、セキュリティ情報メーリングリストのBUGTRAQに投稿されたもので、2008年12月9日にはSQL Server 2000でこの脆弱性が存在することが、翌10日には同様にServer 2005にも脆弱性が存在することが報告されていた。 投稿された内容としては、この脆弱性はいくつかの初期化されていないパラメータを使って、拡張ストアドプロシージャの「sp_replwritetovarbin」が呼ばれることで、メモリ上の特定の場所に値を書くことが可能になり、任意のコード実行のために利用することが可能になりうるというものだった。実証コードも、単に脆弱性の存在を指摘するだけのものだった。 しかし、12月17日にはWebサイト上に改造されたコードが公開された。このコードは動作環境がWindows 2000(SP4)とSQL 2000 Serverに限定されているものの、コードが実行されたPCのTCP 4445番ポート上でリモートシェルが動くというものとなっていた。対象となるOSとSQLサーバーが非常に限定されるとはいえ、非常に危険な状態にある脆弱性だった。 なお、12月に公表されたセキュリティアドバイザリでは、ストアドプロシージャ「sp_replwritetovarbin」をサーバー上で利用不可とするような設定が、対策として推奨されていた。今回のセキュリティパッチでこの脆弱性は修正されるわけだが、パッチを当てただけでは「sp_replwritetovarbin」は利用可にはならない。セキュリティアドバイザリを見て対策をしたユーザーは、パッチ適用後は設定を戻すのを忘れないようにしたほうがいいだろう。 関連情報 ■URL マイクロソフト 2009年2月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx MS09-002:Internet Explorer用の累積的なセキュリティ更新プログラム(961260) http://www.microsoft.com/japan/technet/security/bulletin/ms09-002.mspx MS09-004:SQL Serverの脆弱性により、リモートでコードが実行される(959420) http://www.microsoft.com/japan/technet/security/bulletin/ms09-004.mspx ■関連記事 ・ マイクロソフトが2月の月例パッチ公開、IE7の修正など計4件(2009/02/11) ・ SQL Serverに脆弱性、MSがセキュリティアドバイザリを公開(2008/12/24)
( 大和 哲 )
- ページの先頭へ-
|