6月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは9日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 公開された更新情報は合計10件で、脆弱性の最大深刻度は4段階で最も高い“緊急”が3件、2番目に高い“重要”が 7件となっている。

 今月は、緊急3件のセキュリティ更新について見ていこう。この中には、今年2月にセキュリティアドバイザリ(980088)で報告されたゼロデイ脆弱性への対応も含まれている。

MS10-033:メディア解凍の脆弱性により、リモートでコードが実行される(979902)

  • メディア圧縮の脆弱性 - CVE-2010-1879
  • MJPEGのメディア圧縮の脆弱性 - CVE-2010-1880

 MS10-033では、上記2つの脆弱性を修正する。いずれも、Windowsがメディアファイルを解析する方法に問題があり、ユーザーが悪意の細工をされたメディアファイルを開くか、Webブラウザーで表示、あるいはストリーミングコンテンツとして再生しようとした場合に、メモリー破壊を起こしリモートコード実行攻撃を受ける可能性があるというものだ。

 Windowsにはメディアファイルを解釈するようなプログラムが複数存在するが、この脆弱性はさまざまなモジュールに影響を与える。具体的には、DirectShowに含まれる「Quartz.dll」や、Windows Mediaフォーマットランタイム、Windows Mediaエンコーダー 9、COMコンポーネントの「Asycfilt.dll」が対象となっている。

 このうち、Quartz.dllとAsycfilt.dllの脆弱性は、どのOSでも深刻度が最も高い“緊急”とされている。しかも、Asycfilt.dllの脆弱性は、Windows 2000からWindows 7、Windows server 2008 R2(64ビット版も含む)まで、現在サポートされているすべてのOSが対象となっている。

 また、Exploitability Index(悪用可能性指標)も、MJPEGのメディア圧縮の脆弱性(CVE-2010-1879)については、最も高い「1 - 安定した悪用コードの可能性」とされている。つまり、この脆弱性は対象となるソフトの範囲が非常に広く、安定して動作する悪意のコードが作られる可能性が高いという危険なものだ。

 これらの脆弱性は、発見者からは一般には非公開の形でマイクロソフトに伝えられており、現在までのところ技術的な詳細は公開されていない。ただし、悪用コードが開発可能になった場合は広く使われるようになる可能性が高いため、しっかりと対策をしておくべき脆弱性であると言っていいだろう。

MS10-034:ActiveXのKill Bitの累積的なセキュリティ更新プログラム(980195)

 MS10-034は、脆弱性の存在が確認されているActiveXコントロールが、Internet Explorer(IE)上で実行されないようにKill bitを設定するものだ。

 影響を受けるOSは、Windows 7/Vista/XP/2000、Windows Server 2008 R2/2008/2003と多岐にわたっている。

 このKill Bitの設定によって修正されるマイクロソフト関係の脆弱性は、以下の2つになる。

  • Microsoft Data AnalyzerのActiveXコントロールの脆弱性 - CVE-2010-0252
  • Microsoft Internet Explorer 8 Developer Toolsの脆弱性 - CVE-2010-0811

 最初の「Data Analyzer」ActiveXコントロールの脆弱性は、境界条件判定に問題があり、ある特別な細工をされたデータを利用すると、メモリー破壊を起こし、読み込ませたPC上で悪意のプログラムが実行可能になる可能性がある。

 もう1つの「Microsoft Internet Explorer 8 Developer Tools」は、IE8上でのJscriptのステップ実行やブレークポイント設定などを手軽に行えるツールで、このツールの脆弱性はWindows 7(64ビット版を含む)でも深刻度“緊急”となっている点には留意しておくべきだろう。

 なお、IE 7/6用に用意されていたInternet Explorer Developer Toolbarには、この脆弱性は存在しない。

 サードパーティ製のActiveXコントロールについては、以下の製品にKill bitが設定される。日本のユーザーにはなじみのない製品ばかりだが、一応留意はしておくべきだ。

  • Danske eSec(Danske Bank)
  • PSFormX(CA)
  • Ofoto Upload Manager(Eastman Kodak)
  • Kodak Gallery Easy Upload Manager ActiveX Control(Eastman Kodak)
  • allPilot Unified Messaging(Avaya)

MS10-035:Internet Explorer用の累積的なセキュリティ更新プログラム(982381)

 MS10-035は、Internet Explorerに対するセキュリティアップデートをまとめて行うものだ。今回のセキュリティ更新では、新たに以下の6つの脆弱性に対応している。

  • クロスドメインの情報漏えいの脆弱性 - CVE-2010-0255
  • toStaticHTMLの情報漏えいの脆弱性 - CVE-2010-1257
  • 初期化されていないメモリ破損の脆弱性 - CVE-2010-1259
  • HTML要素のメモリ破損の脆弱性 - CVE-2010-1260
  • 初期化されていないメモリ破損の脆弱性 - CVE-2010-1261
  • メモリ破損の脆弱性 - CVE-2010-1262

 このうち、「クロスドメインの情報漏えいの脆弱性(CVE-2010-0255)」については、既に一般に情報が公開されている。マイクロソフトでも、今年2月に、セキュリティアドバイザリ「Internet Explorerの脆弱性により、情報漏えいが起こる」(980088)を公開して、ユーザーに保護モードを使用するなどの回避策を案内していた。

 残りの5つはこれまでに非公開の脆弱性だが、「初期化されていないメモリ破損の脆弱性(CVE-2010-1259)」と「メモリ破損の脆弱性(CVE-2010-1262)」については、Exploitability Index(悪用可能性指標)がともに「1 - 安定した悪用コードの可能性」とされている。コードが作成できた場合には、確実に悪意の動作をさせることができる可能性が高いため、注意して確実に対応しておくべき脆弱性であると言えるだろう。

関連情報

(大和 哲)

2010/6/10 12:36


-ページの先頭へ-