12月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは14日、12月の月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月の修正パッチは、事前通知では14件とされていたが、1件少ない13件が公開された。これは事前通知の公開後、SSL/TLSの脆弱性に関する修正パッチ1件に関してアプリケーションの互換性に関する問題が指摘され、公開が延期されたためだ。

 今月は久しぶりの大量の更新・修正となったが、深刻度が最も高い“緊急”のセキュリティ更新は3件で、その他10件は2番目に高い“重要”となっている。修正パッチにより、Windows、Office、Windows Media関連など全部で19件の脆弱性を修正する。

 また、米MicrosoftのSecurity Response Centerブログによれば、深刻度“緊急”の3件のうち、「MS11-092」「MS11-087」の2件は特に重要視すべき脆弱性である、としているのにも注意しておきたい。

 それでは、今月は深刻度“緊急”とされた3件についてその内容を見ていこう。

MS11-087:Windowsカーネルモードドライバーの脆弱性により、リモートでコードが実行される(2639417)

 WindowsのTrueTypeフォントカーネルモードドライバーの脆弱性に関するセキュリティ更新だ。

 対象となるのは、Windows XP SP3以降の現在サポートされているすべてのWindowsで、基本的にはTrueTypeフォントが使用可能なすべてのNT系OSであると考えてよいだろう。

 脆弱性の内容としては、Windows中のTrueTypeフォントの解析部分の実装に問題があり、Windows Media Playerが特別に細工されたTrueTypeフォントファイルを読み込んだ場合、適切に処理できず、リモートでコードが実行されるというものだ。

 したがって攻撃方法としては、文書ファイルやウェブサイトなどに細工したフォントデータを埋め込み、標的となるPCに読み込ませることで、外部からのプログラムを実行させることが可能となる。その際、プログラムは特権モードで動いているので、結果として管理者ユーザーでのプログラム実行も可能となり、アカウントの不正な作成や削除など、PCを完全に乗っ取ることも可能となる。

 この脆弱性は、11月頃からインターネット上のセキュリティMLなどでも知られていたことや、ウイルス「Duqu」による悪用が確認されていることを考えると、かなり危険な脆弱性であると言えるだろう。

 マイクロソフトでは、TrueTypeフォントの問題について、11月4日にセキュリティアドバイザリ(2639658)を公開し、攻撃を回避するための「Fix it」を提供してきた。アドバイザリに従って「Fix it」を適用したユーザーも多いと思うが、今回のパッチ適用に当たって「Fix it」を解除する必要はなく、そのままセキュリティ更新の適用が可能だ。

 先に説明したように、この脆弱性はマイクロソフトも「特に重要視すべき脆弱性」としており、米SANS Technology InstituteのInternet Storm Centerなども「至急パッチを当てるべき」としている。早急にパッチ適用すべき脆弱性であると言えるだろう。

MS11-092:Windows Mediaの脆弱性により、リモートでコードが実行される(2648048)

 このセキュリティ更新プログラムは、Window Media PlayerとWindows Media Centerに関するもので、一般には非公開の形でマイクロソフトに報告された脆弱性を解決するものだ。

 この脆弱性によって、悪意のユーザーによって特別に細工された Microsoft Digital Video Recording(.dvr-ms)ファイルをユーザーが開いた際に、リモートでコードが実行される可能性がある。

 なお、この悪意の攻撃を成功させるためには、ユーザーを誘導してファイルを開かせる必要がある。この点では、ウェブページを閲覧しただけで攻撃を受ける可能性がある脆弱性などよりは、危険度が低いと言えるかもしれない。

 ただし、この修正パッチもWindows XP以降のすべてのクライアントOS(Windows 7/Vista/XP)が対象となっており、深刻度も各OSで“緊急”と評価されている。できるだけ早急にパッチを当てるべき脆弱性であることに変わりはない。

 このセキュリティ更新で修正される脆弱性は、Windows Media PlayerおよびWindows Media CenterのDVR-MSファイルを処理する実装に問題があり、悪意のユーザーによって不正に作られたデータを読み込んだ場合、リモートコード実行が可能になるというものだ。

 また、リモートコードは管理者権限で実行され、影響を受けるシステムを完全に制御する可能性がある。攻撃者は、プログラムのインストールやデータの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりすることが可能だ。

 現時点では、具体的にどのようにすればこの脆弱性を利用できるかといった情報は、一般には公開されていない。その意味では、悪用コードが出てくるまでは時間がかかるだろう。ただし、一度悪意のコードが出回った場合、OSの完全乗っ取りが可能という意味では影響は大きいかもしれない。この脆弱性のExploitability Index(悪用可能性指標)も「1 - 安定した悪用コードの可能性」とされており、悪用コードが作成された場合には確実に動作する可能性も高い。

 慌てる必要はないが、確実にパッチを当てておくべき脆弱性であると言えるだろう。

MS11-090:ActiveXのKill Bitの累積的なセキュリティ更新プログラム(2618451)

 ActiveXコントロールの脆弱性により、リモートでコードが実行される脆弱性に対応するセキュリティ更新で、これまでの修正も含む累積的な修正パッチとなっている。今回対応した脆弱性の内容は、Microsoft Time関連のファイル「DATIME.DLL」に存在するもので、このDLLを悪用することで、ローカルのユーザーと同じ権限で悪意のプログラムをダウンロード・実行させることが可能というものだ。

 今のところこの脆弱性が悪用された形跡はないが、もしこの脆弱性を悪用した場合、悪意のあるActiveXオブジェクトをサイトに貼り付け、サイトを閲覧したユーザーのPCにプログラムをインストールさせる「ドライブバイダウンロード」攻撃を行うことが可能となる。

 脆弱性の影響を受けるOSは、Windows XPおよびWindows Server 2003で、これらのOSの利用者は早急にパッチを当てるべきだろう。現時点で脆弱性の悪用は確認されていないとはいえ、脆弱性を持つActiveXのCLSIDが明らかになっている以上、悪意のユーザーにとっては悪用しようと思えばそう難しくないからだ。

 また、マイクロソフト以外のサードパーティから提供されているActiveXに関しても、Kill Bitを設定することで外部からの悪用を避けるよう設定されている。

 今回の修正パッチでは、「Dell IT Assistant」「HP Easy Printer Care Software」「HP Photo Creative」「Yahoo! CD Player」が使用しているActiveXに関して、Kill Bitが設定された。これらの製品を利用しているユーザーも、脆弱性の悪用に警戒したほうがいいだろう。


関連情報


(大和 哲)

2011/12/15 13:05