12月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは9日、月例のセキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は全部で6件で、内訳としては最大深刻度が最も高い“緊急”が3件、上から2番目の“重要”が3件となっている。また、対象をクライアントとサーバーに分けるとクライアントPC関連が3件、サーバー関連が3件となる。

　今月の更新で、一般のユーザーにとって最も注意が必要なセキュリティ更新は、Internet Explorer（IE）関連の脆弱性を修正する「MS09-072」だろう。MS09-072は、IE 7/6に影響のあるゼロデイ脆弱性で、マイクロソフトが11月24日にセキュリティアドバイザリを公開していたものだからだ。また、この修正パッチに関しては米SANSが、すぐに適用するべきであることを示す「PATCH NOW」に指定するなど、多くのセキュリティ関連機関が早急にパッチを適用することを推奨している。

　それでは、今月は、IE用の累積的なセキュリティ更新プログラムをはじめとした、一般のクライアントPCに関連がありそうな3件と、動画コーデック「Indeo」の多段防御に関するパッチが提供されたセキュリティアドバイザリ「954157」について見ていこう。

●MS09-072：Internet Explorer用の累積的なセキュリティ更新プログラム（976325）

　このセキュリティ更新プログラムは、以下の5つの脆弱性に対応している。

• ATL COMの初期化の脆弱性 - CVE-2009-2493
  
• 初期化されていないメモリ破損の脆弱性 - CVE-2009-3671
  
• HTMLオブジェクトのメモリ破損の脆弱性 - CVE-2009-3672
  
• 初期化されていないメモリ破損の脆弱性 - CVE-2009-3673
  
• 初期化されていないメモリ破損の脆弱性 - CVE-2009-3674

　これらのうち「HTMLオブジェクトのメモリ破損の脆弱性 - CVE-2009-3672」が、11月に「セキュリティアドバイザリ（977981）」として公開されたゼロデイ脆弱性だ。Exploitability Index（悪用可能性指標）は「1 - 安定した悪用コードの可能性」とされており、確実に稼動するする悪用コードが作成可能であることが示されている。

　「ATL COMの初期化の脆弱性 - CVE-2009-2493」は、7月から続いているATLライブラリの脆弱性に関する修正だ。この問題については、開発ツールであるVisaul Studio側の修正は7月の月例パッチ「MS09-035」で行われているのだが、このツールを使って作られたアプリケーション側の修正が現在も続いている。今回の修正もその1つで、同じような修正はまだしばらくは続くだろう。

　「初期化されていないメモリ破損の脆弱性 - CVE-2009-3671」は、ある特定のHTMLタグを読み込んでIEが解釈しようとした際の実装に問題があり、初期化されていない変数を使おうとし、結果としてヒープスプレーで悪用が可能となるようなプログラムの暴走を引き起こすというものだ。悪用コードが読み込まれた標的PCでは、その際ブラウザを使っていたユーザーの権限で悪意のプログラムが実行される可能性がある。

　「初期化されていないメモリ破損の脆弱性 - CVE-2009-3673」は、IE7と最新のブラウザであるIE8も対象となる脆弱性で、Zero Day Initiativeの発表によれば、ユーザーが悪意のCSSファイルを含むWebページをIEに表示させた際に、画面上のある2つの要素を素早く何度もクリックすることで競合状態を発生させ、結果としてプログラムの暴走を招くというものだ。

　悪用の仕方は難しいだろうが、Exploitability Indexは「1 - 安定した悪用コードの可能性」とされており、なによりも最新ブラウザであるIE8も対象になっていることから、警戒は必要だろう。

　「初期化されていないメモリ破損の脆弱性 - CVE-2009-3674」もIE8が対象となる脆弱性で、Zero Day Initiativeの発表によれば、CAttrArrayの循環参照を解決するための処置で、メモリ破壊を起こすというものだ。悪用コードが読み込まれた標的PCでは、その際ブラウザを使っていたユーザーの権限で悪意のプログラムが実行される可能性がある。

●MS09-074：Microsoft Office Projectの脆弱性（967183）

　「Office Project」は、ガントチャートの作成などができるプロジェクトマネジメント用のソフトだ。Microsoft Officeの通常のパッケージ製品には含まれておらず、単体で購入が必要な製品だ。また、ソフトを所有していないユーザー向けの、マイクロソフト純正の閲覧用ソフトも存在していない（サードパーティ製のビュアーや互換ソフトはいくつか存在する）。

　つまり、この脆弱性はMicrosoft Office製品をインストールしたPCが対象ではなく、Projectを購入してインストールしたPCのみが対象となるため、悪用される可能性はそれほど高くないと考えられる。ただし、Project 2000については最大深刻度が“緊急”となっているので、もし該当製品がPCにインストールされている場合は、一定の警戒をすべきだろう。Exploitability Indexは「2 - 不安定な悪用コードの可能性 」となっており、サービス拒否攻撃に使える悪用コードが作られる可能性はある。

　なお、この脆弱性の対象となるProjectのバージョンは2003/2002/2000で、最新版のProject 2007は含まれていない。

　このパッチで修正される脆弱性の内容は、Projectがファイルを開く際に、メモリのリソース割り当てを正しく行っていないために、悪意のファイルを開いた場合にメモリ破壊を起こし、ユーザー権限で悪意のプログラムを実行してしまう可能性があるというものだ。ちなみにProjectのファイルは「.mpp」という形式だ。

　また、脆弱性の性質上、サードパーティ製ビュアーや、編集ソフトに同じ脆弱性が存在するとは考えにくい。実装上、誤りを作りこみやすい部分ではあるので、偶然同じ箇所に存在する可能性はあるが、それほど心配をする必要はないかもしれない。

●MS09-073：ワードパッドおよびOfficeテキストコンバーターの脆弱性（975539）

　OSに標準で付属するソフト「ワードパッド」と、Officeテキストコンバーターに関する脆弱性で、最大深刻度は4段階で上から2番目の“重要”、Exploitability Indexは「2 - 不安定な悪用コードの可能性」とされている。

　Office 2003/XPのほか、Windows XP/2000に標準添付されているワードパッドも含まれているため、多くのPCが対象となっていることに注意すべきだろう。なお、Windows 7/VistaやOffice 2007はこの脆弱性の影響を受けない。

　この脆弱性は、ワードパッドやOfficeテキストコンバーターに含まれるWord 97文書を解析する部分に問題があり、悪意のファイルを開いた場合に、リモートコード実行が可能となるようなメモリ破壊を引き起こす可能性があるというものだ。悪用の方法としてはWebに悪意のファイルを貼り付けておいて読ませたり、メールに添付して標的となるユーザーに送りつけたり、あるいはファイル共有などで読ませるといったシナリオが考えられる。

　これまで一般に情報は非公開で、Exploitコードが作成された形跡も、悪用された形跡もない脆弱性だが、対象となるPCが多い脆弱性でもあり、警戒はしておくべきだろう。

●セキュリティアドバイザリ（954157）：Indeoコーデックのセキュリティ強化機能

　今月はセキュリティ更新と同時に、セキュリティアドバイザリも何点か公開されている。そのうちの1つ「954157」は、Windows XP/2000およびWindows Server 2003上の「Indeoコーデック」に対して、セキュリティ上の多段防御を目的とする更新プログラムが、Windows Updateなどで提供されていることを知らせるものとなっている。

　この更新プログラムで対象となっているIndeoコーデックは、古くからWindowsで使われている動画コーデックの1つだ。現在はLigosという会社が権利を持つコーデックで、CPUパワーをそれほど必要としないため、古くから使われていた。Windows XPの場合、SP1の場合は別途コーデックをダウンロードする必要があったが、SP2では標準でこのコーデックが組み込まれている。

　このIndeoコーデックについては、いくつかのセキュリティ上の脆弱性が存在することが知られている。今回提供された更新プログラムは、特定の内容の脆弱性を修正するのではなく、インターネットゾーンにあるIndeoファイルの再生を制限することで、セキュリティリスクを下げるものだ。つまり、この更新プログラムを適用すると、Indeoコーデックを使用した動画ファイルは、PC内のファイルは再生が可能だが、Web上にあるファイルはIEやWindows Media Playerでは再生できないといった状況になることが考えられる。

　ただし、現在ではネット上の多くの動画ファイルには他のコーデックが使われており、Indeoコーデックが使われているのはレアケースだろう。

　なお、インターネット上のファイルがIndeoコーデックを使っていて、IEやWindows Media Playerでどうしても再生する必要がある場合には、危険ではあるが再生機能を復活させる方法が、マイクロソフトサポートオンライン（http://support.microsoft.com/kb/954157）に掲載されている。