5月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは11日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 公開された更新情報は合計2件で、1件は脆弱性の最大深刻度が4段階で最も高い“緊急”、もう1件が2番目に高い“重要”。合計3件の脆弱性を修正している。

 また今月から、Exploitability Index(悪用可能性指標)として提供されている情報が若干項目が変更されている。脆弱性修正の適用優先度を把握する際には、留意しておくべきだろう。

 Exploitability Indexについては、
・最新のソフトウェアリリースに関するコード実行の悪用可能性の評価
・以前のソフトウェアリリースに関するコード実行の悪用可能性の評価
・サービス拒否の可能性についての評価
の3点が変更されている。

 「最新のソフトウェア」と「以前のソフトウェア」の評価は、複数製品が影響を受けるような脆弱性の際に参考となる情報だ。たとえば、Excel 2010とExcel 2007の両方に影響がある脆弱性などで、「最新のソフトウェア」の評価が3(機能する見込みのない悪用コード)、「以前のソフトウェア」の評価が1(安定した悪用コードの可能性)となっていれば、以前のソフトウェアであるExcel 2007については早急にパッチを当てるべきだと判断できる。

 サービス拒否の可能性についての評価に関しては、この脆弱性を利用してサービス拒否攻撃を行った場合に、システムがどのような影響を受けるかを示している。評価には「一時的」と「永続的」の2種類があり、「一時的」という評価の場合は、攻撃中はサービス拒否やシステム再起動などが起こるが、攻撃が終了するとすぐに標的の機能性が通常レベルに戻り、比較的被害が軽微であろうと考えられる。一方、「永続的」の評価の場合は、攻撃を受けると手動で再起動する必要があったり、自動的には回復せずにOSやアプリケーションがずっと応答しないという深刻なものとなるため、永続的なサービス拒否が起こると評価されたものは優先してパッチ適用すべきということになるだろう。

 それでは、今月更新された2件のセキュリティ情報の内容について確認しておこう。

MS11-035:WINSの脆弱性(2524426)

 このセキュリティ更新では非公開で報告された1件の脆弱性を修正している。

 脆弱性の内容は、WINSサービスの実装にWINSネットワークパケット内のデータ構造が十分に検証されない問題があり、特別な細工がされたWINSパケットを送信された場合、リモートでコードが実行される恐れがあるというものだ。影響を受けるのはサーバーOSで、具体的にはWindows Server 2008 R2/2008/2003が対象となる。

 WINSとは、ローカルエリア内のコンピュータのNetBIOS名をIPアドレスにマッピングし、コンピュータ名の登録・解決を行う仕組みだ。

 Windowsクライアントでは、ネットワーク設定でWINSサーバーが設定されていた場合、他のサーバーにアクセスする際には「名前の長さが15文字を超えているか」「名前中にピリオドが含まれているか」といった項目をチェックし、該当する場合には通常のインターネットアクセスと同様にDNSサーバーに名前解決を依頼し、そうでない場合にはWINSサーバーにアクセスして名前解決を行う。

 今回の脆弱性は、クライアントがWINSに名前解決を問い合わせる際に、それを待ち受けるサーバー側の問題となっている。

 脆弱性自体は、ネットワークに対して待ち受けを行っているサービスに、細工されたパケットを流すだけで乗っ取りが可能という危険なものだ。ただし、WINSサーバーのサービスは、サーバーOSでもデフォルトではインストールされておらず、手動でインストールして自動起動の設定を行う必要があるため、対象となるマシンは少ないと思われる。

 ちなみに、このサービスではTCP/UDP42番ポートを利用するが、通常はこれらのポートへのパケットを内部にスルーする設定にはなっていないと思われるので、外部ネットワークから内部への攻撃もあまり想定する必要はなさそうだ。

MS11-036:Microsoft PowerPointの脆弱性(2545814)

 このセキュリティ更新では非公開で報告された、下記2件の脆弱性を修正している。

・プレゼンテーションのメモリ破損のRCEの脆弱性(CVE-2011-1269)
・プレゼンテーションのバッファーオーバーランのRCEの脆弱性(CVE-2011-1270)

 1件目のCVE-2011-1269は、Windows用のPowerPoint 2007/2003/2002と、Office 2003などで使われる「Word/Excel/PowerPoint 2007ファイル形式用Microsoft Office互換機能パック」、Mac用のOffice 2008/2004 for MacとXML File Format Converter for Macが対象となる。ただし、現時点ではMac用のOffice 2004 for Mac、Office 2008 for Macのパッチは配布が始まっていない。2件目のCVE-2011-1270は、Windows用のPowerPoint 2003/2002のみが対象となる。

 どちらの脆弱性も、深刻度は4段階で2番目に高い“重要”で、内容としてはPowerPointファイルを処理する方法に不備があり、特別に細工されたPowerPointファイルを読み込んだ場合、メモリ破壊を引き起こし、リモートで悪意のコードが実行される可能性があるというものだ。

 そのため、たとえば、悪意の攻撃シナリオとしては、ウェブサイトに悪意のPowerPointファイルを仕掛けておき、訪問者を無差別にリモートコード攻撃する、あるいは悪意のPowerPointファイルを送りつけて標的型攻撃を行うといったケースが考えられる。

 なお、Exploitability Index(悪用可能性指標)の「最新のソフトウェアリリースに関するコード実行の悪用可能性の評価」が「影響なし」となっていることからもわかるように、これらの脆弱性は最新版のOffice(Windows版ではOffice 2010、MacではOffice for Mac 2011)には存在しない。

 また、修正パッチを適用すればこの脆弱性への攻撃を防げることはもちろんだが、今回のような脆弱性を悪用するための攻撃をブロックするためには、「Officeのファイル検証(OFV)アドイン」をシステムにインストールしておくことも有効な手段だ。

 Officeファイル検証アドインは、旧形式のOfficeファイル(.docなど)を開いた際に、ファイルの検証を行うアドインだ。ファイルの検証が失敗すると、文書が侵害された可能性があることを知らせるメッセージが表示され、Officeはファイル読み込みを中断する。これにより、悪意によって意図的におかしな値に細工したファイルを読み込ませようとしても、攻撃を成功させることができなくなる。


関連情報


(大和 哲)

2011/5/11 15:08