9月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは15日、月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月の9つのセキュリティ更新で対応された脆弱性は計11件で、件数としてはいつもと同じくらいと言っていいだろう。そのうち4つは最大深刻度が4段階で最も高い“緊急”とされており、Windows、Office、Outlookが影響を受ける。残りの5つは最大深刻度が2番目に高い“重要”のものだ。

　一般に公開されている脆弱性、現在インターネットで悪用されていることが確認されている脆弱性も、今回のセキュリティ更新に含まれている。特に「MS10-061」は、Stuxnetウイルスで使われていた脆弱性に対応しており、最も重要視すべき更新だろう。

　ただし、8月24日にセキュリティアドバイザリが公開された、DLLファイルの読み込みに関する脆弱性については、今回の月例セキュリティ更新では修正パッチの提供は行われていない。

　また、セキュリティ研究者で組織される「Abysssec Research」というグループが、9月1日から毎日1件以上の脆弱性の報告を続けているが、この件への対応もない。このグループのサイトでは、各種の著名なソフトに対する脆弱性が公開されており、マイクロソフト関連でも「Microsoft Office Visio DXF File Stack based Overflow」「Microsoft MPEG Layer-3 Remote Command Execution Exploit」といった脆弱性情報が公開されている。

　こうした状況を考えると、今後これらの脆弱性に対する修正パッチが定例外のタイミングでリリースされる可能性もある。当面、セキュリティ情報には注意しておくべきだろう。

　それでは、今月は最大深刻度“緊急”とされた4件についてその内容を見ておこう。

●MS10-061：印刷スプーラーサービスの脆弱性（2347290）

　「MS10-061」では、Windows XPでリモートコード実行の可能性があり、深刻度“緊急”とされている印刷スプーラーサービスのなりすましの脆弱性（CVE-2010-2729）に対応している。

　この脆弱性は、他のPCからの印刷リクエストを受け入れるような設定になっているPCに対して、悪意の印刷リクエストとしてそのPCを乗っ取るようなプログラムを送信し、実際にプログラムを実行できるというものだ。リモートコードを特権モードで動作させることができ、PCを完全に乗っ取ることも可能だ。

　既にインターネット上で脆弱性の悪用が確認されており、Kaspersky Labのブログによれば、この脆弱性はウイルス「Stuxnet」が利用していたゼロデイ脆弱性の1つとして発見された。

　Stunxnetは、危険なゼロデイ脆弱性を利用していることが確認されているウィルスだ。1つはWindowsのショートカットアイコンに関する脆弱性で、これについては8月3日に定例外で公開された修正パッチ「MS10-046」で対応した。さらに調査の結果、Stuxnetは別の脆弱性を利用していることが判明し、「MS10-061」で修正することとなった。

　どちらの脆弱性も、Stuxnetウイルスが他のPCへの感染拡大のために利用しており、ショートカットアイコンの脆弱性はファイル共有やUSBメモリーなどを経由して、印刷スプーラーサービスの脆弱性はプリンター機能をLAN内で公開しているPCへの感染に利用されたようだ。

　ちなみに、Kaspersky Labでは、Stunxnetウイルスはさらにいくつかのゼロデイ脆弱性を利用していると指摘している。Symantecもブログで、「Stuxnetはさらに3つの脆弱性を使用している」としており、「MS10-061」で修正した脆弱性の他に、対応・公表がされていない特権昇格の脆弱性が2つあるという。

　Stunxnetウイルスは、インド、インドネシア、イランなどで多く検出されており、日本で検出されるケースはこれらの国に比べると少ない。また、どちらかといえばサーバーPCで悪用が比較的容易そうな脆弱性であり、クライアントPCでの危険性はサーバーに比べると低い。

　しかし、すでにウイルスでの悪用が確認されている脆弱性であり、今後作成される別のウイルスなどへの転用も大いに考えられる。その意味では、PCユーザー、特にLAN内のサーバー管理者などは、できるだけ迅速に適用すべきパッチだろう。米SANSもブログで、このパッチは特にサーバーPCでは緊急に適用するよう勧告している。

●MS10-062：MPEG-4コーデックの脆弱性（975558）

　「MS10-062」は、「MPEG-4コーデックの脆弱性」（CVE-2010-0818）に対応するセキュリティ更新だ。

　この脆弱性はこれまで一般には情報が非公開だったが、影響を受けるWindows Vista/XPおよびWindows Server 2008/2003のどの環境でも深刻度は“緊急”で、Exploitability Index (悪用可能性指標) も「1 - 安定した悪用コードの可能性」となっている。悪意のコードを広めたいと考えている攻撃者にとっては、利用したいであろう脆弱性だ。

　脆弱性の内容としては、Windows Mediaコーデックに含まれる「MPEG-4コーデック」がある特定のデータを正しく解釈しないために、悪意のデータを読み込んだ際にメモリー破壊が発生し、結果として悪意のユーザーにリモートから任意のプログラムを実行される可能性があるというものだ。

　攻撃のシナリオとしては、この脆弱性を利用した悪意のMPEG-4データをウェブサーバーに置いておき、不特定多数にアクセスさせて、PCを乗っ取ろうと試みるといったケースが考えられる。攻撃により実行されたプログラムは、MPEG-4データを再生しようとしたユーザーの権限で実行される。

●MS10-063：Unicodeスクリプトプロセッサの脆弱性（2320113）

　「Uniscribeフォント解析エンジンのメモリ破損の脆弱性」（CVE-2010-2738）に対応するセキュリティ更新で、この脆弱性もこれまで一般には情報が公開されていない。内容的には、WindowsやOfficeがEmbedded OpenTypeフォントを扱う際に、レイアウトのテーブルのデータ内容によって正しく検証できない場合があるというものだ。

　もう少し詳しく言えば、Unicodeの中でもアラビア文字やヒンディー語などには複雑なレイアウト規則を持つ文字があり、そうした規則をフォント中でスクリプト化して対応している。このスクリプトを処理する「Unicodeスクリプトプロセッサ」（USP10.DLL）に、レイアウトテーブルの内容がある特定の値だった場合に異常であることを認識できず、メモリー破壊を起こし、リモートコード実行が可能になる脆弱性が存在した。

　攻撃のシナリオとしては、悪意の細工がされた文書ファイルを標的ユーザーにメールで送付し、読み込ませるなどの方法が考えられる。OfficeもUnicodeスクリプトプロセッサを利用するため、脆弱性の影響を受けるソフトに含まれているが、マイクロソフト以外のソフトもこの脆弱性の影響を受けることが考えられる。

　USP10.DLLにはいくつかのバージョンがあり、新しいバージョンには対応文字が追加されるなどの強化が図られている。そのため、特定のバージョンのUSP10.DLLをアプリケーションの実行ファイルと同じフォルダーに置いているケースが見られるが、こうしたアプリケーションでは個別にこの脆弱性に対応する必要がある。

　マイクロソフトからのパッチが出た以上、ソフトの開発者もDLLを更新すると思われるが、使用しているソフトに該当のDLLが含まれていないかや、古いDLLを使っていてサポートが切れているソフトを使っていないかといった確認もしたほうがいいだろう。

●MS10-064：Microsoft Outlookの脆弱性（2315011）

　「Outlookのヒープベースのバッファーオーバーフローの脆弱性」（CVE-2010-2728）に対応したセキュリティ更新で、この脆弱性もこれまで一般には情報が公開されていない。

　この脆弱性は、OutlookがExchangeにオンラインモードで接続していたときに、悪意のユーザーが特殊な加工をしたメールをOutlookに送付することで、ヒープオーバーフローを引き起こし、結果としてOutlookが動作していたクライアント上で悪意のプログラムを動作させることができるというものだ。

　ユーザーが悪意のメールを開いた場合だけでなく、Outlookのプレビュー画面に表示させた場合でも、悪意のコードが標的PC上で実行される危険がある。実行される悪意のプログラムは、Outlookを使用していたユーザーの権限で実行されるため、管理者権限で利用していた場合にはPCを完全に乗っ取られる可能性もある。

　この脆弱性のExploitability Indexは「2 - 不安定な悪用コードの可能性」となっており、悪用しても確実に動く悪意のコードを作ることは難しいようだ。しかし、Outlookユーザーにとっては悪用の標的になってしまう可能性があるため、早めのパッチ適用を考えておくべきだろう。