8月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは12日、月例のセキュリティ更新プログラム(修正パッチ)のリリースとセキュリティ情報の公開、さらに1件のセキュリティアドバイザリを公開した。

 今月公開されたセキュリティ更新プログラムは計9件。内訳は、最大深刻度が最高レベルの“緊急”のものが5件、次に高い“重要”が4件。また、対象ソフトウェアで見ると、Office Webコンポーネント関係が1件で、それ以外は基本的にWindows関係となっている。クライアントPC、サーバーどちらも対象となる更新プログラムが多いのが今月の特徴と言えるだろう。

 さらに言えば、Exploitability Index(悪用可能性指標)が最も高い「1」と評価されているものが7件あり、もしも今回公開された脆弱性情報が悪用された場合、確実に動作する悪意のコードが開発される可能性があるものも多いということだ。

 なお、Office Webコンポーネントの1件は、7月13日にセキュリティアドバイザリ「973472」として、既にゼロデイ攻撃に利用されていることが公表されていた脆弱性だ。

 また、今月は新たにリリースされた修正パッチだけでなく、過去に提供された修正パッチ「MS09-029」「MS09-035」の情報もアップデートされている。

 今月は、最大深刻度「緊急」とされた5件の修正パッチと、情報が更新された「MS09-035」に関して内容を見ておこう。

MS09-035:Visual StudioのActive Template Libraryの脆弱性

 7月30日に定例外で公開された「MS09-035」だが、8月の月例パッチの公開に合わせて一部情報が追加・更新されている。アプリケーション開発者は注意が必要だ。

 具体的には、Visual Studioを使用してモバイルアプリケーション用コンポーネントおよびコントロールを作成する開発者向けに、Visual Studio 2008/2005用の更新プログラムが提供されている。

 また、プログラムがこの脆弱性の影響を受けているかを判断する方法に関しても、MSDN の日本語情報「開発者向けActive Template Libraryのセキュリティ更新プログラム」が公開されたので、あらためて、そちらも確認しておくといいだろう。

 開発者向けActive Template Libraryのセキュリティ更新プログラム
 http://msdn.microsoft.com/ja-jp/visualc/ee309358.aspx

MS09-037:Microsoft ATL(Active Template Library)の脆弱性

 前述の「MS09-035」と同じ、ATL(Active Template Library)の脆弱性に関する修正パッチだ。「MS09-035」は、Visual Studioに含まれているライブラリを修正するものだが、この「MS09-037」は、Windowsに添付されているソフトの中で、脆弱性の存在するMicrosoft ATLを利用していたソフトに対する修正パッチ群だ。

 修正パッチはソフトごとに提供されるため、例えばWindows XP SP3環境の場合には、「Outlook Express 6」「Windows Media Player 11(または10/9)」「Windows ATLコンポーネント」「DHTML編集コンポーネントActiveXコントロール」「MSWebDVD ActiveXコントロール」といった各ソフトにそれぞれ修正パッチが適用されることになる。

 なお、このような修正は今後、他のマイクロソフト製品や他社ソフトウェア製品などでも多く発生する可能性が高い。利用しているソフト、特に広く一般的に使われている製品や自動アップデート機能のないソフトのセキュリティ修正版の提供開始には十分注意を払っておく必要があるだろう。

MS09-039:WINSの脆弱性

 Windowsの名前解決に利用される「WINS」の脆弱性2件に対する修正だ。WINSに対してのリモートコード脆弱性の修正は「MS04-045」以来なので、実に5年ぶりの修正パッチということになる。

 対象OSはWindows 2000 ServerおよびWindows Server 2003のみで、そもそもWINSサーバー自体がデフォルトではインストールされないため、危険性は低いと言える。ただし、もしもこの脆弱性が悪用されると、リモートから不正なパケットをサーバーに流し、任意のプログラムを実行させるような攻撃、いわば「WINSワーム」と言えるような攻撃プログラムが予想される。そのため、これらのサーバーを管理する管理者は、一応の注意が必要だろう。

 米MicrosoftのSecurity Research & Defense Blogでは、多段防御としてこのような攻撃に備えて、サーバー前段のファイアウォールなどでTCP/UDP 42番ポートを塞ぐ対策を同時に行うことを推奨している。

MS09-043:Microsoft Office Webコンポーネントの脆弱性

 7月13日に、ゼロデイ攻撃の存在が確認されたため公開されていたセキュリティアドバイザリ「973472」に対するセキュリティ更新だ。ただし、ActiveX関連のアップデートではあるが、「MS09-037」のようなATL関連ではない。

 この更新によって、Office Webコンポーネントに関する4件の脆弱性を修正するパッチが適用される。

 なお、このOffice Webコンポーネントは、Internet Explorer上でExcelなどを組み込み表示するために使われるプログラム部品だ。Office 2003/XPが適用の対象となるほか、このコンポーネントを配布するサーバー、IIS 2006/2004、BizTalk Server 2002、Visual Studio .NET 2003、Office Small Business Accounting 2006に含まれているものも適用対象となる。

 また、このコンポーネントは、単体でもWebから無償配布されているほか、他のソフトウェアに同梱されているケースもあるため、Officeやサーバー製品以外を利用しているユーザーでも適用対象となるケースがある。

MS09-038:Windows Mediaファイル処理における脆弱性

  • 不正な形式のAVIヘッダーの脆弱性 - CVE-2009-1545
  • AVI整数のオーバーフローの脆弱性 - CVE-2009-1546

 Windows Vista/XP/2000およびWindows Server 2008/2003に存在する、上記2件の動画ファイル再生に関する脆弱性を修正するセキュリティ更新だ。いずれも、Avifil32.dllという動画のファイル処理ライブラリの実装上の問題によるもので、このDLLはデフォルトで対象となるWindowsに組み込まれている。攻撃の方法としては、例えば不正なAVIファイルを攻撃対象のユーザーのPCにダウンロードさせ、サムネイル表示をさせることで、攻撃対象PC上で任意のプログラムを動作させることなどが可能となる。

 これまで未公開の脆弱性情報で、Exploitability Index(悪用可能性指標)は3段階中の「2」であるため、さほど厳重な警戒は必要ないものの、動画ファイルを使った悪意のプログラム実行は比較的よく使われる悪用手段であるため、念のため注意しておいた方がいい脆弱性情報だろう。

MS09-044:リモートデスクトップ接続の脆弱性

  • リモートデスクトップ接続のヒープオーバーフローの脆弱性
  • リモートデスクトップ接続のActiveXコントロールのヒープオーバーフローの脆弱性

 上記2件の、リモートデスクトップ接続に存在する、これまで非公開の脆弱性を修正するセキュリティ更新だ。「リモートデスクトップ接続のヒープオーバーフローの脆弱性」は、悪意のあるリモートデスクトップサーバーにユーザーがアクセスしてしまった場合、ユーザーに渡す情報をすりかえる、いわゆる「中間者攻撃」を行うことで、最悪の場合アクセスしたユーザーと同じ権限で、悪意のプログラムを標的PC上で動作させられる可能性がある。

 また、「リモートデスクトップ接続のActiveXコントロールのヒープオーバーフローの脆弱性」の方は、リモートデスクトップ接続のActiveXコントロールに存在するバッファオーバーフローの脆弱性で、想定しない値をリモートサーバーから送られた場合に、メモリ破壊によって任意のプログラムを動かしてしまう可能性がある。つまり、攻撃としては、悪意のあるWebサーバーにアクセスした場合に、悪意のActiveXによって悪意のプログラムを標的PC上で動作させられてしまう可能性がある、ということになる。

 リモートデスクトップクライアントの利用者は比較的限られるだろうが、ActiveXの方はブラウザを使ってWebアクセスをするなら、悪用にひっかかる可能性のある脆弱性だ。しかも、脆弱性のExploitability Index(悪用可能性指標)は最も悪い「1」と評価されており、十分な注意が必要だろう。

 また、この脆弱性に関しては、WindowsだけでなくMac用リモートデスクトップクライアントにも存在するので、Macユーザーも注意が必要だ。


関連情報

(大和 哲)

2009/8/17 11:00