1月のマイクロソフトセキュリティ更新を確認する


 12日、マイクロソフトは月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 セキュリティ更新の内容は、2件ともWindows関連の脆弱性を修正するものだ。1件は、セキュリティアドバイザリに公開されている既知の脆弱性に関するもの。もう1件は非公開で、NT系Windowsのいずれのバージョンにもインストールされているデータベースアクセスライブラリに関するものだ。

 今月公開された2件のセキュリティ更新について、その内容を確認しよう。

 また、年末年始にはInternet Explorer(IE)とWindowsのゼロディ脆弱性に関する2件のセキュリティアドバイザリが公開されている。これらについても、あわせて内容を確認したい。

MS11-001:Windows Backup Managerの脆弱性により、リモートでコードが実行される(2478935)

 Windows 7/Vistaにはシステムのバックアップ機能が搭載されており、コントロールパネルの「バックアップと復元」や、ファイル名を指定して実行する場合は「sdclt.exe」を指定することで、バックアップの設定や実行を行うことができる。

 今回のセキュリティ更新は、「マイクロソフトセキュリティアドバイザリ(2269637):安全でないライブラリのロードにより、リモートでコードが実行される」で情報公開されていた、アプリケーションが外部ライブラリをロードする方法に関する脆弱性に関連するものだ。

 このセキュリティアドバイザリでは、脆弱性を回避するために、アプリケーション側でプログラムの作り替えをするよう求めているが、今回のセキュリティ更新は、この脆弱性を持つWindows Vistaの「バックアップマネージャ」に対してこの作り替えを実施し、そのパッチを提供する。

 この脆弱性は、セキュリティアドバイザリに記載されているように、PCのユーザーが、信頼されていないリモートファイルシステムの場所またはWebDAV共有を利用していた場合に起きうるもので、バックアップの場合、これらの場所にバックアップファイルを復元しようとした場合に危険ということになる。

 なお、このセキュリティ更新で修正される脆弱性は、マイクロソフトによれば、深刻度はWindows Vistaで上から2番目の“重要”とされている。

 ただ、既知の攻撃ではあるが、実際の攻撃方法を考えると、WebDAV経由でバックアップファイルをアクセスさせるなどあまり現実的とはいえない手法を取ることになる。同様の脆弱性を利用したほかのアプリに対する攻撃よりは危険度は低いと考えてもよさそうだ。

MS11-002:Microsoft Data Access Componentsの脆弱性により、リモートでコードが実行される(2451910)

 この更新では、これまで非公開だった2件のMDAC(Microsoft Data Access Components)、WDAC(Windows Data Access Components)に関する脆弱性を修正する。

  • DSNのオーバーフローの脆弱性 - CVE-2011-0026
  • ADOレコードのメモリの脆弱性 - CVE-2011-0027

 MDACとは、アプリケーションからODBC(Open DataBase Connectivity)やADO(ActiveX Data Object)、OLE DBといったデータベースにアクセスするために用意されたインターフェイスだ。基本的には同じものだが、Windows XP以前ではMDAC、Windows Vista以降ではWDACと呼称している。

 今回修正パッチが用意されたのは、MDAC 2.8、WDAC 6.0というバージョンで、それぞれWindows XP、Windows Vista以降のOSやService Packをインストールした際にシステムに組み込まれるものだ。そのため、このセキュリティ更新が適用されるシステムは、これらのWindowsすべてのバージョンということになる。

 脆弱性の内容としては、「DSNのオーバーフローの脆弱性」の方は、アプリケーションがODBCデータベースに接続するために用意される「DSN」をMDAC/WDACが検証する方法に問題があり、ある特定の文字列としてDSNを用意した場合、メモリ破壊を起こし、リモートコード実行が可能になるというものだ。

 また、「ADOレコードのメモリの脆弱性」の方は、その名前の通り、OLE DBプロバイダを介してデータベースにアクセスするADOを利用する際に、レコードセットを取得・操作するが、この操作過程である特殊なデータを指定するとメモリ破壊を起こし、結果的にリモートコード実行が可能になる。MDAC/WDACのメモリ割り当てを検証する方法に問題があるために起こる問題だ。

 ODBCはともかくとして、ADOレコードの問題の方は、悪意のウェブページデータを用意してインターネットで公開することで、不特定多数の利用者にアクセスさせ、アクセスしてきたPCを乗っ取るというような攻撃が可能となる。現在のところ悪意のコードは確認されていないが、深刻度はWindows 7/Vista/XPで“緊急”、Exploitability Index(悪用可能性指標)は最も高い「1 - 安定した悪用コードの可能性」とされている。もしこの脆弱性を利用した悪意のコードが開発された場合、確度が高く、多くの被害者を出すコードとなることが考えられる。特に、インターネットに接続するクライアントPCでは至急適用すべき更新であるといっていいだろう。

最近公開された2件のセキュリティアドバイザリにも注意

 なお、下記関連記事「MSが1月の月例パッチ2件を公開、Windows関連の修正」にもあるが、今回のこの更新では、昨年末12月24日にセキュリティアドバイザリで公開されたIEの脆弱性、また、明けて1月6日に公開されたGraphics Rendering Engineの脆弱性に関しては対応していない。

 現時点でIEの脆弱性に関しては限定的ではあるが、これを悪用した攻撃がされているという。また、Graphics Rendering Engineの脆弱性に関してはまだ攻撃は確認されていないが、内容としてはWindows Vista SP1/SP2、Windows XP SP3、Windows Server 2008 SP2、Windows Server 2003 SP2でビットマップサムネイルを含むオフィス文書を読み込ませることでリモートコード実行が可能になるという危険度の高いものであると思われる。どちらも公開された「回避策」を適用して、危険を回避すべきだろう。

 なお、「マイクロソフトセキュリティアドバイザリ(2488013):Internet Explorerの脆弱性により、リモートでコードが実行される」に関しては、1月12日に回避策として「Internet ExplorerのCSSスタイルシートの再帰的なロードを防ぐ」方法が公開されているのでこれを設定するといいだろう。

 「マイクロソフトセキュリティアドバイザリ(2490606):Graphics Rendering Engineの脆弱性により、リモートでコードが実行される」に関しては、1月6日に「shimgvw.dllのアクセス制御リスト(ACL)を変更する」回避策用の、自動化されたFix itソリューションの提供が始まっており、これを利用するとワンタッチでPCに回避策を適用可能だ。

 また、これらは定例外でパッチ提供される可能性もあるとされており、しばらくは注視しておくべきだろう。


関連情報


(大和 哲)

2011/1/13 12:26