12月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは15日、12月の月例セキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今月公開されたセキュリティ更新プログラムは17件で、Internet Explorer（IE）、Office、Windowsムービーメーカー、Windows Mediaなどに関連する合計40件の脆弱性を修正する。17件と数は多いが、深刻度が最も高い“緊急”のセキュリティ更新は2件のみとなっている。ただし、“緊急”の2件のうち1件は、セキュリティアドバイザリも公開されている危険なゼロデイ脆弱性で、早急にパッチ適用が必要なものであることには注意しておくべきだろう。

　また、7月にゼロデイ攻撃ウイルスとして報道された「Stuxnet」が使用していた脆弱性の1つについても、今回のセキュリティ更新プログラムで対応している。

　それでは、今月は深刻度“緊急”とされた2件について、その内容を見ていこう。

●MS10-090：Internet Explorer用の累積的なセキュリティ更新プログラム（2416400）

　このセキュリティ更新プログラムでは、IEの4件の非公開の脆弱性と、3件の既に知られている脆弱性を修正する。基本的に、現行のIEすべてにいずれかの脆弱性が存在しており、すべてのユーザーが適用すべきセキュリティ更新といえるだろう。具体的には、修正される脆弱性は以下の7つとなる。脆弱性を深刻度で分けると、メモリー破壊によるリモートコード実行の可能性がある5件が“緊急”、情報漏えいの可能性がある2件が“警告”レベルとなっている。

• HTMLオブジェクトのメモリの破損の脆弱性 - CVE-2010-3340
  
• クロスドメインの情報漏えいの脆弱性 - CVE-2010-3342
  
• HTMLオブジェクトのメモリ破損の脆弱性 - CVE-2010-3343
  
• HTML要素のメモリ破損の脆弱性 - CVE-2010-3345
  
• HTML要素のメモリ破損の脆弱性 - CVE-2010-3346
  
• クロスドメインの情報漏えいの脆弱性 - CVE-2010-3348
  
• 初期化されていないメモリ破損の脆弱性 - CVE-2010-3962

　このうち、「初期化されていないメモリ破損の脆弱性 - CVE-2010-3962」については、マイクロソフトが11月4日にセキュリティアドバイザリ（2458511）を公開していた。この脆弱性を利用した攻撃の可能性を実証するソースコードも、脆弱性コードデータベースの「Exploit DB」などに既に複数個登録されている。多少プログラムに関する知識があれば、誰でも悪意のコードを作成できる状況となっており、この脆弱性に関しては大至急パッチ適用が必要だろう。

　既にこの脆弱性を利用した、Windows XP上のIE6を標的とするゼロデイ攻撃も複数回検知されている。米Microsoft Security Research & Defenseのブログなどによると、この攻撃を受けるプラットフォームとしてはIE7/6の危険度が高く、IE8に関してはコードの安定性の問題もあり危険度は若干低いようだ。

●MS10-091：OpenTypeフォント（OTF）ドライバーの脆弱性（2296199）

　このセキュリティ更新では、非公開で報告された3件のOpenTypeフォントドライバーに存在する脆弱性を修正する。

• OpenTypeフォントのインデックスの脆弱性 - CVE-2010-3956
  
• OpenTypeフォントのダブル フリーの脆弱性 - CVE-2010-3957
  
• OpenType CMAPテーブルの脆弱性 - CVE-2010-3959

　対象となるOSは、マイクロソフトが現在サポートしている全OS（Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003）だが、Windows XPおよびWindows Server 2003については、脆弱性の最大深刻度が一段低い“重要”とされている。

　Exploitability Index（悪用可能性指標）による分類では、「CVE-2010-3956」「CVE-2010-3957」の2件が最も確実な悪用コードが作れる可能性を示す“1”、「CVE-2010-3959」については不安定な悪用コードの可能性がある“2”となっている。

　米SANSなどセキュリティ機関によっては、今月のセキュリティ更新ではMS10-090よりもMS10-091の方を警戒すべきという見解を示しているサイトもある。このセキュリティ更新にも、より注意をもって接すべきだろう。

　マイクロソフトによれば、「MS10-091」の脆弱性を悪用する方法として最も考えられるのは、ユーザーが不正なOpenTypeファイルを含むフォルダをExplorer.exeで開いてしまい、不正コードが実行されるというケースだ。

　また、この更新で修正される3つの脆弱性はいずれも、IE以外のウェブブラウザーも影響を受ける可能性があるとしている。

　具体的にはCSSの「@font-face」構文などを利用すると思われるが、ウェブブラウザーがOpenTypeフォントドライバーを呼び出し、OpenTypeフォントを解析させる際に、正しく配列をインデックスできず、結果としてメモリー破壊を引き起こし、悪用プログラムを起動するきっかけとなるということのようだ。

　今後、各ウェブブラウザーのセキュリティ情報公開やアップデート提供の際などに、この脆弱性に関する情報が公開されると考えられる。マイクロソフト製品だけでなく、特にユーザーの多いウェブブラウザーなどでは、セキュリティ更新にしばらく注意しておく必要があるだろう。

　ただし、筆者の知る限りでは、たとえばGoogle Chromeでは外部からのOpenTypeファイル呼び出しの際には、危険なパラメーターがフォントデータ中にないかをチェックする「Sanitizer for OpenType」が利用されており、不正なフォントファイルは利用できないようになっている。こうしたことから、すべてのサードパーティ製ブラウザーがこの脆弱性の影響を受けるわけではないと考えられる。