11月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは10日、11月の月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新は3件で、2件がOffice関連、もう1件がエンタープライズセキュリティ製品の「ForeFront」関連だ。ForeFront関連の1件は、リモートアクセスサーバー向けのUnified Access Gatewayに関するもののため、一般のユーザーに関係のあるセキュリティ更新はOffice関連の2件だけだと言っていいだろう。

　なお、今回公開されたセキュリティ更新では、11月4日に公開されたセキュリティアドバイザリ「Internet Explorerの脆弱性により、リモートでコードが実行される」（2458511）」への対応は行われなかった。この脆弱性については、限定的ではあるが既にメールによる標的型攻撃で利用されていることが確認されている。また、内容的にも、CSSのタグを多少特殊な書き方をするだけで悪用でき、悪用のための技術的なハードルは低いと思われるため、引き続き警戒が必要だ。

　それでは、今月公開されたセキュリティ更新のうち、一般のユーザーに関係のある2件に関してその内容を見ていこう。

●MS10-087：Microsoft Officeの脆弱性（2423930）

　現在マイクロソフトがサポートしている全てのOfficeに影響し、今回公開された更新では唯一、最大深刻度が最高の“緊急”となっている、このセキュリティ更新は次の5つの脆弱性を修正している。

• RTFのスタックバッファオーバーフローの脆弱性 - CVE-2010-3333
  
• Officeアートのレコード描画の脆弱性 - CVE-2010-3334
  
• 描画の例外処理の脆弱性 - CVE-2010-3335
  
• MSOのラージSPIDの読み取りAVの脆弱性- CVE-2010-3336
  
• セキュリティで保護されていないライブラリのロードの脆弱性- CVE-2010-3337

　このうち最大深刻度が“緊急”とされているのは、「RTFのスタックバッファオーバーフローの脆弱性」で、悪意のRTFファイルを読み込む際にメモリー破壊を起こし、結果として第三者による標的PC上でのリモートコード実行が可能になる可能性があるというものだ。

　米MicrosoftのSecurity Response Centerブログによれば、「RTFのスタックバッファオーバーフローの脆弱性」は、利用者が悪意のRTF形式ファイルが添付されたメールをOutlookでプレビュー表示させるだけでプログラム実行が行われる可能性があるため、Office 2007とOffice 2010で“緊急”としたと説明している。

　また、今回のセキュリティ更新で修正された脆弱性のうち、「セキュリティで保護されていないライブラリのロードの脆弱性」は、既知の脆弱性に対するもので、内容としてはマイクロソフトが8月にセキュリティアドバイザリを公開した、WindowsのDLL読み込みに関するもので、「WindowsのDLLハイジャッキング」とも呼ばれる問題だ。

　これは、アプリケーションがDLL（Dynamic Link Library）を利用する際に、フルパスを指定せずに読み込もうとすると、Windowsはカレントディレクトリ、システムディレクトリ、Windowsディレクトリ……という順でDLLを探して読み込むことに起因するシステム設計上の問題だ。アプリケーションがDLLの正当性を確認していないなどの条件が重なった場合、カレントディレクトリなどに仕掛けられた悪意のコードを含むDLLを実行してしまう「DLLプリロード攻撃」が成立するというものだ。

　マイクロソフトでは、セキュリティアドバイザリを公開した8月に、MSDNのサイトで「Dynamic-Link Libraryセキュリティ」( http://msdn.microsoft.com/ja-jp/library/ff919712(VS.85).aspx )として、開発者向けにこの脆弱性の回避策となる実装方法を開示し、アプリケーション開発者に改修を促している。

　Officeに限らず、他のマイクロソフト製品やサードパーティ製品でも、同様にDLLハイジャッキングに対処するためのセキュリティパッチの配布がしばらく続くことになるだろう。

●MS10-088：Microsoft PowerPointの脆弱性（2293386）

　MS10-088で修正される脆弱性は以下の2つで、いずれもこれまで一般には情報が非公開だった脆弱性だ。

• PowerPointの解析のバッファーオーバーフローの脆弱性 - CVE-2010-2572
  
• PowerPointの整数アンダーフローのヒープ破損の脆弱性 - CVE-2010-2573

　CVE-2010-2572の対象は、PowerPoint 2003/2002。CVE-2010-2573の対象は、PowerPoint 2003/2002、PowerPoint Viewer 2007、Mac用のOffice 2004。脆弱性のExploitability Index (悪用可能性指標) は、CVE-2010-2572が3段階で最高の「1 - 安定した悪用コードの可能性」となっている。

　この2つの脆弱性はいずれも、不正な形式のPowerPointデータファイルを開いた際にメモリー破壊を起こし、リモートコード実行の可能性があるというものだ。

　具体的には、CVE-2010-2572の方は、PowerPointに含まれる「PP7X32.DLL」の実装上のミスで、特殊に加工されたPowerPoint 95ファイルを読み込ませることで、PowerPointがヒープを破壊してしまい、悪用コード上に含まれるシェルコードを実行してしまう可能性がある。ただし、実行されるコードはPowerPointを操作していたユーザーの権限での実行となる。

　また、CVE-2010-2573は、PowerPointのある種のアニメーション用パラメータで、プログラム中で値を検証せずにプログラム中の繰り返し回数として利用してしまっている箇所があり、悪意のユーザーがこのパラメータをありえない値にした場合、メモリー破壊を起こすことが可能となるというものだ。

　ただし、この2つの脆弱性は、悪用プログラムを標的PC上で実行させるためにはユーザーの操作が必要となる。Microsoft Security Response Centerブログによれば、こうしたことから、2つの脆弱性の深刻度は上から2番目の“重要”となっているということだ。