1月のMS・Adobeのセキュリティ更新を確認する

　マイクロソフトは13日、月例のセキュリティ更新のリリースとセキュリティアドバイザリの公開を行った。また、アドビシステムズも同じく13日早朝に、Adobe ReaderおよびAcrobatのセキュリティ更新版のリリースを開始した。

　マイクロソフトのセキュリティ更新の内容は、Windowsの「Embedded Open Type」関連の脆弱性パッチが1件となっている。ただし、この脆弱性は、Windows 2000で悪用された場合には深刻な被害が考えられるが、他のOSにはあまり大きな影響は無いという評価となっている。今回は、マイクロソフトからのセキュリティ更新に関しては、Windows 2000以外のユーザーにとっては、さほど懸念する必要はないと考えてもいいだろう。

　一方、アドビが公開したセキュリティ修正に関しては、十分な注意を払っておくべきだろう。というのも、今回公開されたAdobe Reader/Acrobatの最新版で対応している脆弱性には、2009年12月にインターネット上のトロイの木馬プログラム内部から発見された、ゼロデイ脆弱性「CVE-2009-4324」が含まれているからだ。

　しかも、このゼロデイ脆弱性はソースプログラム付きでインターネット上で情報が公開されていた。それほど技術や情報に精通していない人でも、悪意のプログラムを作ることが可能となっており、非常に危険といえる状態だった。

　年末から年始にかけては、「Gumblar」と呼ばれる攻撃が猛威を振るっているが、JPCERT/CCの報告によれば、Gumblarが使用するウイルスでは今回修正された「CVE-2009-4324」のゼロデイ脆弱性も利用されているという。内容を確認の上、Gumblar対策としても大至急Adobe Reader/Acrobatを最新版に更新しておくべきだろう。

　それでは、今月はまず重要性の高いAdobe Reader/Acrobatのアップデートの内容と、マイクロソフトのセキュリティ更新およびセキュリティアドバイザリについて見ておこう。

●APSB10-02：Security updates available for Adobe Reader and Acrobat

　アドビが13日に公開した、Adobe Reader/Acrobatのバージョン9.3および8.2では、アドビの名称で「APSB10-02」のセキュリティ更新が含まれており、以下の脆弱性に対応している。

・CVE-2009-3953 U3Dモジュール処理の整数オーバーフロー
・CVE-2009-3954 DocMedia.newPlayer()関数の解放後使用エラー
・CVE-2009-3955 U3Dモジュール処理時のメモリ破壊
・CVE-2009-3956 3D処理時のリモートから任意コード実行可能な脆弱性
・CVE-2009-3957 不明なメモリ破壊
・CVE-2009-3958 スクリプトインジェクション可能な脆弱性
・CVE-2009-3959 ヌルポインタデリファレンスによるサービス拒否脆弱性
・CVE-2009-4324 newPlayer()メソッドの境界エラーによる不正なコード実行脆弱性

　このうち、最も危険な脆弱性が「CVE-2009-4324」で、2009年12月にインターネットに出回っていたトロイの木馬プログラムから発見された、いわゆるゼロデイ脆弱性だ。

　「CVE-2009-4324」の内容は、PDF内に埋め込まれたJavaScriptの「doc.media.newplayer()」というメソッドを実行する際に、その実行に必要な条件を判定する部分に問題があり、結果的にセキュリティ上危険なコード実行が可能になっていたというものだ。

　しかも、この脆弱性の技術情報は、12月中旬にはソースコードつきでインターネット上で公開され、悪用しようと思えばプログラムを作ることができる、非常に危険な状態になっていた。

　アドビも、12月16日にはセキュリティアドバイザリを公表し、修正版が公開されるまでの回避策として、以下の対策を推奨していた。

・Adobe Reader/AcrobatでのJavaScript無効化
・WindowsではDEP（データ実行防止機構）によるコード実行の予防
・「JavaScriptブラックリストフレームワーク」を利用した、DocMedia.newPlayer()の無効化

　これが、今回のセキュリティパッチによって対応されたわけだが、上記の「ブラックリストフレームワーク」は、今回のようなゼロデイ攻撃を回避するためには有効な策だ。ブラックリストフレームワークは、JavaScript全体は無効化せず、特定のメソッドを無効化するための仕組みだ。このフレームワークの使い方を知っておくことは、今回と同じような攻撃への対策として非常に有効であり、セキュリティ上お勧めしておきたい。ブラックリストフレームワークによる対策方法は、以下のURLで確認できる。

・JavaScriptのブラックリストフレームワークについて（Acrobat/Adobe Reader 8-9）
http://www.adobe.com/jp/support/kb/ts/236/ts_236209_ja-jp.html
・JavaScriptブラックリストフレームワークを利用したセキュリティリスク軽減（Acrobat/Adobe Reader）
http://www.adobe.com/jp/support/kb/ts/236/ts_236494_ja-jp.html

　また、今回はAdobe Readerが問題となったが、それ以外のソフト、たとえばGumblarでも脆弱性が悪用された、Flash Player、Java、それにInternet ExplorerやFirefox、もちろんWindowsの修正パッチも適用し、常に最新の状態にしておくべきだ。

　特に、今回のGumblarによる被害のように、Webサーバーを管理しているようなPCで対策を怠ると、ウイルス込みのWebページをインターネット上に公開してしまい、社会信用を損ねるような事態になりかねないことを肝に銘じて、アップデートをきちんとしておくべきだろう。

　最近では一般的に、ウイルスやトロイの木馬といった悪意のプログラムが他のPCに感染しようとする場合は、複数のソフトの脆弱性を狙う手法が非常に多くなっている。Windows、Internet Explorer、Word、Excelといったマイクロソフト製品だけでなく、他のベンダーの製品の脆弱性も狙われている。特に、Flash Player、Adobe Reader、Firefox、そしてJavaのランタイム（古いバージョンのランタイムがディスク上にそのまま残っていることが多い）が狙われることが多い。これらのソフトは、いずれも脆弱性に関して注意する必要があると言っていいだろう。

●MS10-001：Embedded OpenTypeフォントエンジンの脆弱性（972270）

　マイクロソフトが今月公開したセキュリティ更新は「MS10-001」の1件で、対応している脆弱性も「CVE-2010-0018」の1つだけだ。

　この脆弱性の内容は、圧縮されているEmbedded OpenType（EOT）フォントファイルを読み込んで展開する際に、その作業を行うDLLファイル「t2embed.dll」に管理情報が整数桁あふれした際の実装が抜け落ちているため、必要以上にファイル内の内容をメモリーにコピーしてしまい、メモリー破壊を起こす可能性があるというものだ。

　この脆弱性を悪用すると、たとえば不正なファイルをメールで送りつけて、読んだ相手のPCを乗っ取るというような攻撃が可能となる。また、マイクロソフト製以外のソフトでも、問題となるDLLファイルを使ってEOTファイルを利用することは可能なので、サードパーティ製のソフトが標的となる可能性もある。

　ただし、この脆弱性の最大深刻度は、Windows 2000のみが4段階で最も高い“緊急”で、その他のOS（Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003）では4段階で最も低い“注意”となっている。Exploitability Index（悪用可能性指標) も「2 - 不安定な悪用コードの可能性」となっており、悪意のコードを確実に動かすのは簡単ではないと考えられる。

　また、Windows 2000以外のOSでは「悪用の見込みはない」という。Microsoft Security Research & Defenseブログによれば、コード実行の可能性があるのは、Windows 2000以外では、32ビットOSのある一部のアプリだけで、それ以外はDoS（サービス拒否）程度にしかならないとしている。

●マイクロソフトセキュリティアドバイザリ（979267）

　マイクロソフトは13日に、「Flash Player 6」のセキュリティの脆弱性について、セキュリティアドバイザリとしてユーザーに注意を促している。

　なぜ古いバージョンのFlash Player 6についてセキュリティアドバイザリが出ているのかと言うと、Windows XP SP2/SP3およびWindows XP x64 Edition SP2には、Adobe Flash Player 6が標準でインストールされているためだ。現在、提供元のアドビシステムズからは、最新版のFlash Player 10が配布されていて、Flash Player 6のサポートは2006年に終了している。

　Gumblarの攻撃でも使われていたように、Flash Playerの脆弱性を利用したインターネット上の攻撃は数多く存在している。セキュリティパッチも現在では出ていない、古いFlash Player 6がインストールされているPCでWebサイトにアクセスしてしまうと、そこから悪意のプログラムに感染することにもなりかねないので注意が必要だ。

　たとえば、Gumblarのようなウィルスが企業のWebサイトに感染した経路としては、こんなルートも考えられるだろう。普段は企業内部のサイトにのみアクセスする専用の端末で、あるとき作業員がわからないことがあり、そのPCで外部のサイトにアクセスして情報を得て対処した……つもりだったのだが、実はその情報が載っていたサイトは改ざんされていて、そのPCがウイルスに感染。さらにWebサーバーにも投入されるコンテンツにも感染、というシナリオだ。

　そう考えると、割と忘れがちなそのような端末にこそ、むしろ確実にパッチ適用が必要であることがわかるだろう。

　ちなみに、2002年にリリースされた当時のMacromedia Flash Player6は、ActionScriptが搭載され、プログラムでできることが大幅に増えたFlash 5やFlash MXに対応したプレーヤーソフトだ。機能が大幅に増えた分、セキュリティ上の問題も比較的多かったバージョンでもある。

　マイクロソフトでは、現時点はこの脆弱性を悪用する攻撃は確認されていないとしているが、脆弱性の多いプログラムでもあるので、Flash Player 6をアンインストールするか、最新バージョンのFlash Player 10をインストールするよう呼びかけている。Flash Player 6のアンインストールについては、以下の日本語技術文書に記載されている。

・Flash Playerのアンインストール手順
http://www.adobe.com/jp/support/kb/ts/228/ts_228688_ja-jp.html
・Flash PlayerプラグインおよびActiveXコントロールをアンインストールする方法
http://www.adobe.com/jp/support/kb/ts/230/ts_230810_ja-jp.html