5月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは12日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 公開された更新情報は2件で、いずれも脆弱性の最大深刻度は4段階で最も高い“緊急”となっている。

 現在のところどちらも悪用は確認されていないが、1件はExploitコードが公開されており、サービス拒否攻撃であればすぐに悪用が可能な状態になっている。

 それでは、今月はこの2件の内容についてみておこう。

MS10-030:Outlook ExpressおよびWindowsメールの脆弱性(978542)

 対象となるOSは、Windows 7/Vista/XP/2000およびWindows Server 2008 R2/2008/2003で、これらのOSに標準添付されているOutlook ExpressおよびWindowsメールに関する脆弱性を修正する。また、Windows Liveからダウンロードして使用できる「Windows Liveメール」にも同様の脆弱性が存在している。

 脆弱性の内容は、Outlook Express、Windowsメール、Windows Liveメールで、悪意のあるPOP3サーバーやIMAPサーバーに接続した場合、サーバーからの不正な送信により、リモートでコードが実行され、最悪の場合にはPCを乗っ取られる可能性もあるというものだ。

 脆弱性の深刻度は、Windows Vista/XPのOutlook ExpressおよびWindowsメールなどでは4段階で最も高い“緊急”、Windows 7のWindowsメール、Windows Vista/XPのWindows Liveメールなどでは一段低い“重要”となっている。また、セキュリティ強化の仕組みにより、Windows Vista以降のOSでは悪用の可能性は低くなる。

 今回の脆弱性に関しては、発見者であるProtek Research LabのWebサイトで、技術的な詳細とPerlで書かれた20行程度のExploitコードが公開されている。これによると、脆弱性はOutlook ExpressおよびWindowsメールが共通で利用しているライブラリに存在する、整数の誤った扱いに起因するものであるようだ。

 Exploitコードは、接続するPCからはメールサーバーに見えるようなプログラムとなっていて、メールクライアントが受信するメールサイズを問い合わせたときにある値を返信する。Outlook Express(またはWindowsメール)は、送られてきたメールサイズとして本来ありえないような値でメモリーを確保しようとし、メモリー破壊を引き起こし、結果としてメールソフトをDoS(サービス拒否)状態に陥ることが確認できる。

 ただし、掲載されているExploitコードでは、PCをDoS状態に陥らせることはできるものの、メモリー破壊した先に実行コードを送り込んでリモートコード実行をさせる部分は存在しない。マイクロソフトとしては、この先になんらかの方法で破壊されるメモリーにコードを送り込み、偶発的にでもコードを実行させることが可能であると考えたと思われる。この脆弱性のExploitability Index(悪用可能性指標)は、「2 - 不安定な悪用コードの可能性」となっている。

 公開されているExploitコードは非常に簡素で分かりやすく、転用も容易そうだ。ただし、悪用するにはなんらかの形でサーバーを用意し、標的ユーザーにOutlook ExpressやWindowsメールでこのサーバーにアクセスさせる必要がある。また、Exploitコードには肝心のリモートでのコード実行部分がなかったことを考えると、実際に悪意のある攻撃として使われる可能性は高くないかもしれない。とは言え、DoS程度であればすぐにでも悪用可能であることに変わりはないので、ユーザーは念のため早めにパッチを適用しておくべきだろう。

MS10-031:Microsoft Visual Basic for Applicationsの脆弱性(978213)

 Office 2007/2003/XP、Visual Basic for Applications(VBA)、Visual Basic for Applications SDKに存在する、リモートコード実行の脆弱性だ。開発ツールであるVisual Basic for ApplicationsとSDKにも脆弱性が存在するため、これらのツールを使って作成されたサードパーティ製のアプリケーションにも影響がある点にも注意が必要だ。

 脆弱性の内容としては、対象となるOffice製品またはサードパーティ製アプリに含まれる「VBE6.DLL」に、スタックオーバーフローを起こす可能性があるというものだ。発見者であるNSFocusのWebサイトによれば、VBAをサポートするOfficeドキュメント中のActiveXコントロールを検索する際に利用されるいくつかのテキストの解釈コード中に問題があり、特殊な細工がされたVBAを実行した場合、Office文書などに埋め込まれたコントロールを実行できる可能性があり、結果としてリモートでコードが実行される可能性があるとされている。

 従って、この脆弱性を悪用するとすれば、悪意のOfficeドキュメントをメールで標的ユーザーに送付して実行させたり、あるいはWeb上に悪意のOfficeドキュメントを貼り付けておき、標的PCに読みこせるといった方法になるだろう。

 この脆弱性の情報はこれまで非公開であり、Exploitability Index(悪用可能性指標)は、「2 - 不安定な悪用コードの可能性」となっている。しかし、NSFocusや米Microsoft Security Response Centerブログにも、ある程度技術的な情報が公開されており、悪用コードの作成に成功すれば、標的ユーザーにを実行させるのは比較的容易であることを考えると、この先悪用される可能性は十分あるだろう。米Microsoft Security Response Centerブログでは、30日以内にそうしたことが起こる可能性が高いとしている。

 また、サードパーティ製アプリも対象となることを考えると、対象となるOfficeの利用者だけでなく、全てのWindowsユーザーがこの修正パッチを早めに適用しておくべきだろう。


関連情報

(大和 哲)

2010/5/13 14:16