マイクロソフトは15日、月例のセキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。
今月公開したセキュリティ更新は全部で8件と多く、内訳を見ると、最大深刻度が最も高い“緊急”が5件、上から2番目の“重要”が2件、3番目の“警告”のものが1件となっている。
また、内容的には、インターネット上で既に情報が公開されている脆弱性や、ゼロデイ攻撃に使われた脆弱性に対応した修正パッチが多い点が特徴だ。それだけ危険性も高く、今月は特に確実に修正パッチを適用するようにすべきだ。
なお、残念ながら、3月にセキュリティアドバイザリ「969136」として存在が報告された、PowerPointの脆弱性に対する修正パッチは、今回はまだ提供されていない。
今月は、セキュリティ更新の中でも、既に情報が公開されている脆弱性と、ゼロデイ攻撃に使われている脆弱性に焦点をあてて、深刻度”緊急”のもの4件、”重要”のもの1件について見てみよう。
● MS09-009:Excelの脆弱性(968557)
- メモリの破損の脆弱性 - CVE-2009-0100
- メモリの破損の脆弱性 - CVE-2009-0238
「MS09-009」は、上記2つの脆弱性を修正するセキュリティ更新だ。最大深刻度は“緊急”、Exploitability Index(悪用可能性指標)も、「CVE-2009-0238」については安定した悪用コードの可能性がある「1」とされており、比較的危険度の高い脆弱性と言える。
脆弱性「CVE-2009-0238」は、Symantecが新種のトロイの木馬「Trojan.Mdropper.AC」を解析した際に、このトロイの木馬が使用していることで発見された脆弱性だ。脆弱性情報がベンダーや研究者に知られる以前に攻撃に使用された、いわゆる「ゼロデイ脆弱性」だ。
マイクロソフトでは、この脆弱性について2月25日にセキュリティアドバイザリを公開し、脆弱性の存在と当面の回避策を示していたが、今回正式な修正パッチが提供された。発見されたトロイの木馬は広く感染が報告されているわけではなく、限定的な攻撃のみに用いられたようだが、一般に知られた脆弱性情報がある以上、できるだけ早くPCに修正パッチを当てるべきだろう。
● MS09-010:ワードパッドおよびOfficeテキストコンバーターの脆弱性(960477)
- ワードパッドおよび Officeテキストコンバーターのメモリの破損の脆弱性 - CVE-2009-0087
- ワードパッド、Word 97テキストコンバーターのスタックオーバーフローの脆弱性 - CVE-2008-4841
- Word 2000、WordPerfect 6.xコンバーターのスタックの破損の脆弱性 - CVE-2009-0088
- ワードパッド、Word 97テキストコンバーターのスタックオーバーフローの脆弱性 - CVE-2009-0235
「MS09-010」では、上記4つの脆弱性を修正する。これらのうち「CVE-2009-0087」「CVE-2008-4841」の2つがインターネット上に情報が公開されている脆弱性とされており、特に問題なのが「CVE-2008-4841」だ。
「CVE-2008-4841」は、「ワードパッドをサービス停止に陥らせる.docファイル読み込みの脆弱性」として、2008年9月に情報がネット上に公開されている。その後、2008年12月にはマイクロソフトからもセキュリティアドバイザリが公開され、とりあえずの回避策が提示されていた。
「CVE-2008-4841」を悪用するためのスクリプトなどは公開されていないものの、ワードパッドをサービス停止に陥らせる実証ファイル自体はネット上に公開されていて、広くその存在が知られている。現時点でも悪用される寸前の状態であり、今すぐ修正パッチを当てるべき脆弱性とだろう。
もう1つの「CVE-2009-0087」については、どのような形でネット上に公開されていたのかは不明だ。脆弱性としては前述の「CVE-2008-4841」に近いものと考えられ、脆弱性の悪用可能性指標については「2(不安定な悪用コードの可能性)」と評価されている。もしもこの脆弱性が悪用された場合でも、PCがハングアップするなどのサービス拒否攻撃(DoS攻撃)程度にしか使用されない可能性が高いと思われる。
なお、脆弱性情報が一般に公開されていない「CVE-2009-0088」「CVE-2009-0235」の2つについても、悪用可能性指標は最も高い「1」とされているので、警戒が必要だろう。「CVE-2009-0088」「CVE-2009-0235」はともにiDefenceLabsによって発見されたものとされているが、同社のPublic Advisoryにも全く情報が掲載されていない。
2つの脆弱性のうち「CVE-2009-0235」については、マイクロソフトからも注意事項として「このメモリの破損の脆弱性は容易に悪用が可能です」と付け加えられており、詳細な技術情報がインターネット上で公開された場合には、悪用コードが作られる危険性は高いと考えるべきだ。「CVE-2009-0235」は、前述の「CVE-2008-4841」と内容が似ており、「CVE-2008-4841」を研究していたクラッカーが偶然こちらの脆弱性を突く方法を発見してしまうという可能性もあるだろう。
● MS09-013:Windows HTTPサービスの脆弱性(960803)
- Windows HTTPサービスの整数アンダーフローの脆弱性 - CVE-2009-0086
- Windows HTTPサービスの証明書名の不一致の脆弱性 - CVE-2009-0089
- Windows HTTPサービスの資格情報の反映の脆弱性 - CVE-2009-0550
「MS09-013」では上記3つの脆弱性を修正するが、このうち「CVE-2009-0550」が既に公開されていたとされる脆弱性だ。Windows HTTPサービス(WinHTTP)は、プログラムがHTTP通信を行うためのコンポーネントで、WinHTTPを使うアプリケーションが悪意のサーバーと通信を行った場合に、悪用される可能性がある。
「CVE-2009-0550」については、マイクロソフトでは既に一般に知られていた脆弱性としているが、公開している先の情報はどの資料にもない。脆弱性の内容としては、WindowsのNTLM認証で資格情報の再利用防止が正しく実装できていないという問題だ。たとえばユーザーが悪意のサーバーにHTTPアクセスした場合に、NTLMの資格情報を処理する方法の脆弱性を悪用してリモートコードをユーザーのクライアントに返し、そのコードをクライアントPCで実行させることが可能になる。
この脆弱性は、後述するInternet Explorer(IE)の修正パッチ「MS09-014」でも同様の修正が行われている。脆弱性としては同じものだが、IEはWinHTTPを呼び出すわけではないため、このような措置が取られているようだ。マイクロソフトでは、「MS09-013」と「MS09-014」はあわせて適用することを推奨している。
● MS09-014:Internet Explorer用の累積的なセキュリティ更新プログラム(963027)
- 複合的な脅威のリモートでコードが実行される脆弱性 - CVE-2008-2540
- WinINetの資格情報の再利用の脆弱性 - CVE-2009-0550
- ページの切り替えのメモリの破損の脆弱性 - CVE-2009-0551
- 初期化されていないメモリの破損の脆弱性 - CVE-2009-0552
- 初期化されていないメモリの破損の脆弱性 - CVE-2009-0553
- 初期化されていないメモリの破損の脆弱性 - CVE-2009-0554
「MS09-014」では、上記6つの脆弱性を修正する。このうち、「CVE-2008-2540」「CVE-2009-0550」の2つが既に情報が公開されている脆弱性で、「CVE-2009-0550」については前述の「MS09-013」と同様の修正となっている。
「CVE-2008-2540」は、2008年5月に話題となった、AppleのWebブラウザ「Safari」をWindows環境で使用した場合の脆弱性だ。2008年6月には、Safariの側でこの脆弱性に対する修正を行っており、今回Windows側でも対処が行われたことになる。既にSafariをアップデートしていれば脆弱性を悪用されることはないが、万一この脆弱性が他の脆弱性との組み合わせで悪用できることになった場合を考えると、利用ユーザーはWindows側にも修正パッチを適用し、Safariも新しいバージョンを使うべきだろう。
● MS09-012:Windowsの脆弱性(959454)
- Windows MSDTCのサービスの分離の脆弱性 - CVE-2008-1436
- Windows WMIのサービスの分離の脆弱性 - CVE-2009-0078
- Windows RPCSSのサービスの分離の脆弱性 - CVE-2009-0079
- Windows ThreadPool ACLの弱点の脆弱性 - CVE-2009-0080
「MS09-012」は、上記4つの脆弱性を修正するセキュリティ更新だ。最大深刻度は4段階で上から2番目の“重要”だが、上記4件の脆弱性のうち「CVE-2008-1436」は既に情報が公開されており、危険だと考えられる。
「CVE-2008-1436」についてはマイクロソフトも、2008年4月にセキュリティアドバイザリ「951306」を公開している。また、2008年10月には、Windows Server 2003用の悪用コードがセキュリティ研究メーリングリストなどで配布されている。悪用コードはWindows Server 2003専用として書かれていたが、脆弱性自体はWindows XPやWindows Vistaにも存在している。
脆弱性の内容としては特権の昇格なので、単独で使われることはなく、他の脆弱性と組み合わせて使われると思われるが、気を付けておくべき脆弱性であると言えるだろう。
関連情報
■URL
マイクロソフト 2009年4月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx
■関連記事
・ MSが4月の月例パッチ公開、“緊急”5件を含む計8件(2009/04/15)
( 大和 哲 )
2009/04/16 15:57
- ページの先頭へ-
|