3月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは日本時間10日未明、月例のセキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。また、セキュリティアドバイザリも1件公開している。

　セキュリティ更新は「MS10-016」「MS10-017」の2件。いずれも脆弱性の最大深刻度は4段階で上から2番目の“重要”となっていて、リモートコード実行を許すような脆弱性への攻撃を注意する必要が、ある程度あることを示している。ただし、この2件で修正される合計8つの脆弱性は、悪用の方法としては、何らかの形で標的ユーザーに悪意のファイルを読み込ませる必要がある。

　また、セキュリティアドバイザリはInternet Explorer（IE）のゼロディ脆弱性に関するもので、リモートコード実行可能なゼロデイ脆弱性が存在し、すでに標的攻撃にも使われているというものだ。

　IEに関しては、3月2日にもゼロデイ攻撃の問題がセキュリティアドバイザリとして公開されており、現在、IEにはこの種の危険な脆弱性が未解決のまま2件存在していることになる。

　それでは、今月は、このセキュリティ更新2件と、セキュリティアドバイザリの内容について見ておこう。

●MS10-016：Windowsムービーメーカーの脆弱性（975561）

　冒頭にも記載したが、このセキュリティ更新は、最大深刻度が上から2番目の“重要”となっていて、リモートコード実行を許すような脆弱性1件に対応している。また、脆弱性の悪用可能性指標（Exploitability Index）は、可能性が最も高いことを示す「1」となっている。現在のところ、この脆弱性を使った悪用コードの存在は確認されていないが、悪用された場合には、確実性の高い攻撃が行われる可能性が高いということだ。ユーザーには至急、このパッチを適用することを薦める。

　脆弱性の内容としては、WindowsムービーメーカーおよびMicrosoft Producer 2003に関するもので、Windowsムービーメーカーでは「.MSWMM」ファイル、Producer 2003では「.MSProducer」「.MSProducerZ」「.MSProducerBF」ファイルのヘッダーを検証する実装に、バッファーオーバーフローを引き起こす問題が存在するというものだ。これにより、不正な形式のファイルを読み込んだ場合、それをきっかけにして任意のプログラムが実行される可能性がある。

　Windowsムービーメーカーは、Windows XPとWindows Vistaには標準で搭載されているアプリケーションのため、特定の環境をターゲットにした攻撃などで悪用される可能性があるので注意が必要だ。なお、Windows 7/Vistaで利用可能な「Windows Live ムービーメーカー」は、この脆弱性の影響を受けない。

　また、現時点ではProducer 2003に対する修正パッチは提供されていない点にも注意が必要だろう。Producer 2003用の対策は、マイクロソフトサポートオンライン（http://support.microsoft.com/kb/975561）から、回避策設定ソフト「Fix it」を利用する必要がある。

●MS10-017：Microsoft Office Excelの脆弱性（980150）

　このセキュリティ更新は、Windows用およびMac用のExcelについて、以下の7つの脆弱性を修正する。

• Microsoft Office Excelのレコードメモリ破損の脆弱性 - CVE-2010-0257
  
• Microsoft Office Excelシートのオブジェクト型の混乱の脆弱性 - CVE-2010-0258
  
• Microsoft Office ExcelのMDXTUPLEレコードのヒープオーバーフローの脆弱性 - CVE-2010-0260
  
• Microsoft Office ExcelのMDXSETレコードのヒープオーバーフローの脆弱性 - CVE-2010-0261
  
• Microsoft Office ExcelのFNGROUPNAMEレコードの初期化されていないメモリの脆弱性 - CVE-2010-0262
  
• Microsoft Office ExcelのXLSXファイル解析のコード実行の脆弱性 - CVE-2010-0263
  
• Microsoft Office ExcelのDbOrParamQryレコード解析の脆弱性 - CVE-2010-0264

　これらの脆弱性は、いずれも、特別な細工がされたExcelファイルを開く（または処理する）ことで、リモートでコードが実行される可能性があるというものだ。

　悪用可能性指標は、確実な悪用コードの作成が可能な「1」が5つ、不安定ながら悪用コードの作成が可能な「2」が2つという内訳となっている。現在までのところ、技術的な情報はそれほど知られておらず、悪用コードが作られた形跡もないが、危険な脆弱性が含まれていることには変わらない。やはり、すぐに適用しておくべき修正パッチだろう。

　なお、修正パッチの適用は、Windows用Officeの場合には、Microsoft Updateの定期自動実行を設定していれば、自動的に行われる。Mac用Office 2008/2004の場合には、修正パッチをダウンロードして適用する必要がある。

●IEのセキュリティアドバイザリ（981374）

　10日に公開されたセキュリティアドバイザリ（981374）は、IE7/6のゼロデイ脆弱性についてのものだ。既にこの脆弱性を悪用した標的型攻撃も確認されており、Sophosではこの脆弱性への攻撃を行うスパムメールが見つかっていることをブログで伝えている。

　この脆弱性は、Webフォルダーおよび印刷のサポートを行う「iepeers.dll」というライブラリに存在し、ある状況下で解放済みメモリーを使用してしまうというものだ。実行させたい悪意のプログラムを変数として記録させ、変数解放後にある仕掛けをすることで、その領域に書かれていたプログラムを実行させる、といったことが可能になるわけだ。

　なお、IE8はこの脆弱性の影響を受けないため、マイクロソフトではIE7/6を利用しているユーザーに、移行に問題がなければ対策としてIE8へのアップデートを薦めるとしている。ちなみに、Windows 2000のIE5.01も影響を受けないが、Windows 2000自体がもうすぐサポート対象外になってしまう。Windows 2000は2010年7月13日でサポート終了となるため、マイクロソフトではユーザーに注意喚起を行っている。

　脆弱性の回避策としては、データ実行防止 (DEP) 機能を利用することで、脆弱性の攻撃による影響を軽減できる。マイクロソフトサポートオンライン（http://support.microsoft.com/kb/981374）では、このDEPをワンタッチで有効にする「Fix it」プログラムを配布している。Windows 2000以外のユーザーは、このFix itを実行するのが手軽で効果的な回避策となるだろう。

　また、セキュリティアドバイザリには、脆弱性の影響を受けるモジュールに対して、ACL（アクセスコントロールリスト）でアクセス権を設定するという方法も紹介している。具体的には、コマンドプロンプトから32ビットWindowsの場合には「Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N」、64ビットWindowsの場合には「Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E /P everyone:N」を実行することで、この回避策を有効にできる。