4月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは13日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 公開された更新情報は合計17件で、脆弱性の最大深刻度は4段階で最も高い“緊急”が9件、2番目に高い“重要”が 8件となっている。修正パッチにより、合計64件の脆弱性が修正される。

 米Microsoft Security Response Center(MSRC)ブログによると、今回のセキュリティ更新の優先順位は高い方から順に「MS11-018」「MS10-019」「MS10-020」で、これらを最優先で修正パッチ適用すべきだとしている。

 今月は、この3件の内容について確認しておこう。

MS11-018:Internet Explorer用の累積的なセキュリティ更新プログラム(2497640)

 このセキュリティ更新では、Internet Explorer(IE)に関する、非公開で報告された4件の脆弱性と、既に一般に公開されている1件の脆弱性を修正している。

 なお、このセキュリティ更新で修正される脆弱性はIE6からIE8までに影響があり、最新のIE9ではいずれの脆弱性も影響を受けない。

・MSHTMLのメモリ破損の脆弱性 - CVE-2011-0346

 IE8/7/6に含まれる「MSHTML.DLL」の、BreakAASpecialおよびBreakCircularMemoryReferences関数の実装に問題があり、DOMおよびこれらの関数の呼び出しを利用することで、解放後のメモリをアクセスしてしまう脆弱性が存在していた。

 この脆弱性の内容は、セキュリティ関連のメーリングリスト「BUGTRAQ ML」に投稿されており、この脆弱性の存在を実証するデモや実証コードも公開されている。

 マイクロソフトによれば、現在までのところこの脆弱性を利用した攻撃は確認されていないということだが、デモを見る限り比較的簡単なコードでこの脆弱性を利用することができ、また改造も簡単そうだ。

 Exploitability Index(悪用可能性指標)も「1 - 安定した悪用コードの可能性」とされており、悪意のユーザーがこの実証コードを改造した場合、安定して悪用が可能となる可能性が高い。早急にパッチの適用が必要な危険な脆弱性であると言えるだろう。

・オブジェクトの管理のメモリ破損の脆弱性 - CVE-2011-1345

 今回修正されたものの中で、実際に攻撃に利用されたのが、この脆弱性だ。ただし、インターネット上で悪意の攻撃に使われたのが確認されたというわけではなく、ハッキングコンテスト「Pwn2Own」の中で利用されている。

 コンテストでは、IE8環境でWindows 7をハイジャックするのに使われたが、脆弱性自体はIE8/7/6の各バージョンに存在し、Windows Vista/XPにも影響がある。ユーザーが管理者権限でログオンしている場合、システムを攻撃者が完全に制御することが可能になる。

 コンテストでは実際に使用されたものの、この脆弱性の技術的な内容はマイクロソフトにしか知らされておらず、実際に悪意のユーザーが悪用に利用するのはまだ難しいだろう。しかし、実際に利用されたことを考えると、パッチ自体はできるだけ早めに適用するのが望ましいだろう。同じ脆弱性を発見する悪意のユーザーがいないとも限らないからだ。

・レイアウトの処理のメモリ破損の脆弱性 - CVE-2011-0094

 この脆弱性は、IEのレイアウト関連の機能の実装に問題があり、スクリプトやスタイルシートで初期化されていないオブジェクト、または削除されたオブジェクトにアクセスしようとした場合、エラー終了とせず、メモリを破損することがあるというものだ。その結果として、悪意のユーザーにこの脆弱性を利用された場合、攻撃者によってログオンしているユーザーのコンテキストで任意のコードが実行される可能性がある。

 この脆弱性情報は一般に公開される前にマイクロソフトに通知されており、詳細な情報も非公開となっているため、この情報だけで実際に悪用するのは難しいと思われる。ただし、IEのレイアウト関連のバグは過去に頻繁に脆弱性が発見されている個所があり、他の脆弱性を見つけているうちに偶然この脆弱性を悪意のユーザーが発見し、悪用する可能性も考えられる。その意味では、早めのパッチ適用が推奨される脆弱性だろう。

・フレームタグの情報漏えいの脆弱性 - CVE-2011-1244

 これも一般には内容非公開でマイクロソフトに通知された脆弱性で、正当なコンテンツになりすましてフレームタグに特別に細工したウェブページを作成することで、クリックジャックと呼ばれる攻撃が可能になる。

 クリックジャックとは、その名前のようにユーザーのクリックを乗っ取る攻撃のことで、ユーザーが意図した動作とは無関係なページ上のリンクやボタンをクリックしたことになってしまい、ユーザー情報などが漏えいする危険がある。IEの操作でマウスクリックは頻繁に使われることを考えると、「情報漏えい」とはいっても侮ってはいけない脆弱性だろう。

・JavaScriptの情報漏えいの脆弱性 - CVE-2011-1245

 一般には内容非公開でマイクロソフトに通知された脆弱性で、IEでスクリプトが別のドメインからのコンテンツにアクセスおよび読み取りすることを不正確に許可した場合、ゾーン以外のドメインやIEのゾーンでコンテンツが参照され、結果として情報漏えいが起きる可能性があるというものだ。

 ただし、悪用可能性指標は「3 - 機能する見込みのない悪用コード」とされており、実際に悪用するのは困難だと考えられる。

MS11-019:SMBクライアントの脆弱性(2511455)

 このセキュリティ更新では、SMBクライアントに関する2件の脆弱性を修正している。

・Browser Poolの破損の脆弱性 - CVE-2011-0654

 セキュリティ関連のメーリングリスト「Full Disclosure ML」に投稿された脆弱性情報で、脆弱性の実証コードもソースリストが公開されている。

 投稿は「MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow」とされており、WindowsのCommon Internet File System(CIFS)ブラウザープロトコルの実装に問題があり、悪意のブラウザーメッセージを送付することで、標的PC上でリモートコード実行が可能になるというものだ。

 実際にはWindows Server 2003だけではなく、Windows 7など現在サポートされている全てのWindows OSにこの脆弱性が存在する。実証コードを悪用するには多少のプログラムの知識は必要となるものの、丁寧な解説付きのソースコードが公開されており、悪意のユーザーで一度利用されればその後は広く悪用される可能性が十分にある。これも今月、早急にパッチ適用が必要な脆弱性の1つと言っていいだろう。

・SMBクライアントの応答の解析の脆弱性 - CVE-2011-0660

 一般には内容非公開でマイクロソフトに通知された脆弱性で、クライアントが特別に細工されたSMB応答を処理する方法に、認証を必要としないリモートでコードが実行される脆弱性が存在する、というものだ。

 Windows 7 SP1やWindows Server 2008 R2 SP1などではサービス拒否攻撃にしかならないが、それ以前のWindows 7/Vista/XPなどではリモートコード攻撃が可能となっている。

 この脆弱性は、悪用可能性指標も「1 - 安定した悪用コードの可能性」とされていて、悪意のユーザーがこの脆弱性を悪用した場合、安定してLAN内のPCに悪意の攻撃を可能とするため、注意を要する脆弱性だと言えるだろう。SMBにはバージョンが複数存在するが、この脆弱性はSMBv1とSMBv2の両方に影響する。

MS11-020:SMBサーバーの脆弱性(2508429)

 このセキュリティ更新では「SMBのトランザクション解析の脆弱性 - CVE-2011-0661」を修正する。これは、Microsoft Security Response Centerによれば、マイクロソフト内部で発見された脆弱性だという。

 内容としては、SMBプロトコル関連のDLLがパケットを適切に処理していない実装が存在し、あるSMBパケットをPCに対して送りつけることでメモリ破壊を引き起こし、結果として標的PC上でリモートコード実行が可能になるというものだ。この脆弱性も、悪用可能性指標は「1 - 安定した悪用コードの可能性」とされている。

 どのようなパケットを送ればこの脆弱性を突くことが可能かといった情報は公開されていないため、すぐに悪用が可能なわけではない。しかし、もしこのパケットを見つけることができれば、LAN内で強い感染力を持つウイルスが作成されることも考えられる。急ぎはしないが、確実にパッチを当てておくべき脆弱性だと言えるだろう。


関連情報


(大和 哲)

2011/4/14 12:55