2月のマイクロソフトセキュリティ更新を確認する

　マイクロソフトは2月9日、月例のセキュリティ更新プログラム（修正パッチ）をリリースし、セキュリティ情報を公開した。

　今回公開されたセキュリティ情報は12件、修正される脆弱性が22件と、数的には多い月となった。内容から見ると、最大深刻度は最も深刻な“緊急”のものが3件で、次に深刻な“重要”のものが9件となっている。

　では、今月は、深刻度が最も高い“緊急”の3件のセキュリティ情報について、詳しく見ておこう。

●MS11-003：Internet Explorer用の累積的なセキュリティ更新プログラム（2482017）

　Internet Explorer（IE）に関するこれまでの脆弱性にも対応する「累積的な」更新プログラムで、今回の更新プログラムでは新たに以下の4つの脆弱性を修正する。

・CSSメモリ破損の脆弱性 - CVE-2010-3971
・初期化されていないメモリ破損の脆弱性 - CVE-2011-0035
・初期化されていないメモリ破損の脆弱性 - CVE-2011-0036
・Internet Explorerの安全でないライブラリのロードの脆弱性 - CVE-2011-0038

　このうち、CVE-2011-0038以外の3つはいずれも危険な脆弱性で、Windows 7/Vista/XPで深刻度が最大の“緊急”とされており、至急適用すべきパッチと言えるだろう。

　「CSSメモリ破損の脆弱性 - CVE-2010-3971」は、2010年12月にマイクロソフトセキュリティアドバイザリ（2488013）として情報が公開されている。既に悪用コードがインターネット上で実際に使用されていることも確認されており、今回の修正の中では最も危険な脆弱性だ。

　内容としては、IEに含まれているmshtml.dllにおいて、カスケーディングスタイルシート（CSS）のパラメーター「CSharedStyleSheet::Notify」の解釈に問題があり、自分自身を呼び出すような「@import」を複数回実行させるCSSファイルを作ることで、ブラウザーをクラッシュさせたり、最悪の場合には実行コードを呼び出すことが可能であるというものだ。

　2010年12月8日に、複数のセキュリティ関連のメーリングリストにこの情報が投稿された際には、「ブラウザークラッシュが可能なIEのバグ」とされていたが、後に、この脆弱性がリモートコード実行も可能なものであることが判明し、検証コードも作成された。

　セキュリティコミュニティでは、この脆弱性については定例外でパッチがリリースされるだろうとの観測が一般的だったが、米Microsoft Security Response Centerでは悪用の状況などを観測したした結果、この攻撃が実際に広く悪用される可能性は低く、混乱を避けるためにも累積的更新プログラムの一部にしたとしている。

　「初期化されていないメモリ破損の脆弱性」とされているCVE-2011-0036とCVE-2011-0035の2つは、いずれもこれまで情報が未公開の脆弱性で、Windows 7/Vista/XP上のIE8などで深刻度が“緊急”とされている。Exploitability Index（悪用可能性指標）も、「1 - 安定した悪用コードの可能性」と最も高い。

　これらの情報からは危険な部類の脆弱性だと考えられるが、現時点では技術的な情報がほとんど公開されていない。脆弱性の原因についても、「Internet Explorerが、特別に細工したWebコンテンツを解析する際に、メモリのオブジェクトを正しく処理しないことが原因で起こります」と説明されているのみで、これだけの情報で悪意のコードを作ることは難しいだろう。

　「Internet Explorerの安全でないライブラリのロードの脆弱性 - CVE-2011-0038」は、2010年8月から引き続いている外部ライブラリ（DLLファイル）の安全なロード方法に関する修正だ。これまでも、Office（MS10-087）、Windowsムービーメーカー（MS10-093）、Windows Mediaエンコーダー（MS10-094）などに対する修正パッチを公開してきたが、今回のIEの累積的アップデートでもこの問題の修正が行われている。

●MS11-006：Windowsシェルのグラフィック処理の脆弱性（2483185）

　1月5日にセキュリティアドバイザリ（2490606）として情報が公開された、「Windowsシェルのグラフィック処理のオーバーランの脆弱性 - CVE-2010-3970」を修正するセキュリティ更新だ。

　この脆弱性は、Windowsのグラフィックレンダリングエンジンの一部であるshimgvw.dllというDLLライブラリに、biClrUsed値の負の値を検証できない問題があるというもの。特別に細工された「.MIC」ファイルあるいはサムネイルビットマップを含むOfficeの文書ファイルを画面に表示させようとした場合、スタックベースのメモリー破壊を引き起こし、結果として悪意のコードが実行されることになる。

　対象となるOSは、Windows Vista/XPおよびWindows Server 2008/2003で、これより新しいバージョンのOSには影響しない。

　既に悪用コードが一般に公開されているうえに、Office文書での悪用が可能ということを考えると、危険な脆弱性であると言えるだろう。マイクロソフトでは、「セキュリティアドバイザリが公開されて以降、現在までに実際に使用された兆候はない」としているものの、至急パッチを適用すべきだろう。

　ちなみに、このパッチはWindowsの根幹部分のコードを修正するため、適用した場合には必ずWindowsの再起動が必要となる。

●MS11-007：OpenType Compact Font Format（CFF）ドライバーの脆弱性（2485376）

　このセキュリティ更新では、「OpenTypeフォントのエンコードされた文字の脆弱性 - CVE-2011-0033」を修正する。この脆弱性については、修正パッチの公開以前には一般に脆弱性情報が公表されていない。

　脆弱性の内容は、Windowsの画面やプリンターで文字フォントを展開するフォントドライバーの実装に問題があり、OpenTypeフォントデータのあるパラメーターの値が正しくなくても、それを正しく検証できないケースがあるというものだ。この問題により、不正に加工されたOpenTypeフォントデータを読み込ませた場合、メモリー破壊を引き起こし、最悪の場合にはPCを完全に乗っ取られる可能性もある。

　OpenTypeフォントが展開された際にメモリー破壊が起こされるということだが、フォントファイルの場合、たとえばWindowsエクスプローラーのプレビュー画面でサンプル文字を表示させるだけでも、悪用の危険を与えることになる。

　メモリー破壊によって起動されるコードは、一般のユーザーモードではなく「カーネルモード」で起動することになる。このため、悪用コードが起動されると、コードはWindowsシステムを含めて全てのメモリー、ディスク、システムに触れることが可能になる。たとえば、管理者ユーザーを新たに作るといったことも可能だ。

　なお、この脆弱性の深刻度は、Windows 7/VistaおよびWindows Server 2008 R2/2008で“緊急”、Windows XPとWindows Server 2003では一段階低い“重要”となっている。一般的には新しいOSの方がセキュリティ対策が進んでいるため、同じ脆弱性でも深刻度は低くなることが多いが、この脆弱性では逆のパターンとなっている。

　ちなみに、この脆弱性のExploitability Index （悪用可能性指標）は「2 - 不安定な悪用コードの可能性」となっており、標的にされたシステムの状態や悪用コードの質にもよるが、成功の確率は10回に1回から100回に1回程度とされる。

　このため、悪用の可能性はさほど高くないが、実行に要する時間がかかっても確率を高めて利用される可能性は残るため、注意しておくべき脆弱性情報だろう。