6月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは15日、月例のセキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月公開されたセキュリティ更新は全部で16件と多く、使用OSやアプリケーションにもよるが、Windows Updateによるパッチインストールにかかる時間も普段より長いようだ。

 セキュリティ情報の内訳としては、最大深刻度が最も高い“緊急”が9件、上から2番目の“重要”が7件となっている。

 米MicrosoftのSecurity Response Center Blogでは、すべての修正を行うことはもちろんだが、特に「MS11-042」「MS11-043」「MS11-050」「MS11-052」の4件については最優先で修正パッチを適用することを推奨している。

 また、既にインターネットで公開されている脆弱性を含む更新が、「MS11-037」「MS11-044」「MS11-046」に含まれている。いずれも、現在までにウイルスなどへの悪用が確認されたものはないものの、注意が必要だろう。

 それでは今月は、最優先で修正パッチの適用が推奨されている4件を中心に見ていこう。

MS11-042:分散ファイルシステムの脆弱性(2535512)

 このセキュリティ更新では、以下の2つの脆弱性を修正する。

・DFSのメモリ破損の脆弱性 - CVE-2011-1868
・DFSの照会応答の脆弱性 - CVE-2011-1869

 CVE-2011-1868は、対象となるOSがWindows XPおよびWindows Server 2003で、脆弱性の深刻度は“緊急”。CVE-2011-1869は、対象となるOSがWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003で、脆弱性の深刻度は“重要”となっている。

 マイクロソフトが「最優先で至急パッチを」と推奨する理由は、後者の脆弱性には、LAN内のサーバー類を片端からサービス停止状態にもっていける可能性があるためだろう。

 マイクロソフト分散ファイルシステム(DFS)とは、レプリケーション、効率的な帯域幅の使用を保証するネットワーク管理、リモート差分圧縮などの圧縮テクノロジーなどのテクノロジーを使用して、その名前の通りサーバー間やサーバー/クライアント間のファイルを分散して管理するシステムだ。

 あるPCに対して、DFSサービスが動いているかどうかや、現在の状態などを照会された場合、PCはこの照会メッセージを解析し、それに応じた応答を返す。この解析処理の実装に問題があり、解析に失敗するとそのままシステムが応答を返さなくなる、というのがこの脆弱性の内容だ。

 DFSサービスがシステム上で実行されている場合、システム拒否状態を引き起こすように細工されたメッセージが送られてくると、それを受けたシステムはその照会をしてもよいかどうかの認証状態を確認する前に問題を起こす。ネットワーク上のどのPCでも悪意のメッセージの発信元となる可能性があり、やろうと思えばネットワーク上のサーバーの多くを混乱させるような悪意の攻撃も可能となる。リモートコード実行ではないが、比較的問題の多い脆弱性であると言えるだろう。

MS11-043:SMBクライアントの脆弱性(2536276)

 このセキュリティ更新は、非公開でマイクロソフトに報告された脆弱性1件を修正するもので、内容的には4月の「MS11-019」で修正された「SMBクライアントの応答の解析の脆弱性 - CVE-2011-0660」に非常に近いものだ。

 今回の脆弱性が指摘されたSMBは「Server Message Block」の略で、Windowsファイル共有やプリンター共有で利用されているプロトコルと、それを使ったサービスの名前だ。バージョンによってSMB v1とSMB v2が存在するが、これら両方を指してSMBという呼び方もする。

 クライアントPCは、他のPC上でSMBが動いているかの照会や、ファイルの参照、書き込み、印刷などの際にSMBメッセージを送るが、そのメッセージに対する応答を処理する方法に問題があり、クライアントが特別に細工された応答を受け取った場合にコードが実行される可能性があるというのが今回の脆弱性の内容だ。

 今回の脆弱性は、SMB v1とv2のどちらにも存在する。また、この脆弱性を悪用するコードが書かれた場合に、その攻撃の確度を示す指標である「Exploitability Index(悪用可能性指標)」も最悪の「1 - 安定した悪用コードの可能性」とされていることからも、この脆弱性が危険であると言えるだろう。

MS11-050:Internet Explorer用の累積的なセキュリティ更新プログラム(2530548)

 Internet Explorer(IE)用の累積的なセキュリティ更新(これまでのセキュリティ修正も含む更新プログラム)で、今回の更新プログラムでは以下の11件もの脆弱性を修正する。

・MIMEスニッフィングの情報漏えいの脆弱性 - CVE-2011-1246
・リンクプロパティの処理のメモリ破損の脆弱性 - CVE-2011-1250
・DOM操作のメモリ破損の脆弱性 - CVE-2011-1251
・toStaticHTMLの情報漏えいの脆弱性 - CVE-2011-1252
・ドラッグアンドドロップのメモリ破損の脆弱性 - CVE-2011-1254
・Time要素のメモリ破損の脆弱性 - CVE-2011-1255
・DOMの変更のメモリ破損の脆弱性 - CVE-2011-1256
・ドラッグアンドドロップの情報漏えいの脆弱性 - CVE-2011-1258
・レイアウトのメモリ破損の脆弱性 - CVE-2011-1260
・選択オブジェクトのメモリ破損の脆弱性 - CVE-2011-1261
・HTTPリダイレクトのメモリ破損の脆弱性 - CVE-2010-1262

 「最優先で至急修正パッチを適用すること」をマイクロソフトが推奨するのは、この件数が多いことももちろんあるのだろうが、Microsoft Security Response Center Blogに掲載された資料によれば、「この修正はIE上でのメモリ保護を強化するような多層防御アップデートを含む」とあり、これも関係していると考えられる。

 多層防御とは、その名前の通り、多くの層で考えられる攻撃に対策を施しておき、前の層で脆弱性が付かれ破られた場合、その次の層で攻撃を防ぎ、それが破られた場合もその次の層で攻撃を防ぐ、といった形で最終的に致命的な攻撃の成功を防ぐような対策のことだ。

 一般的に、コンピューターセキュリティ用語として「多層防御」が使われた場合は、例えばファイアウォールやルーター、各PCのパーソナルファイアウォールやウイルス対策ソフト、アプリケーション側での防御といったセキュリティ上の組み合わせを指す場合が多い。

 今回のセキュリティ修正の場合は、IE内部でいくつかの防御策を新たにルーチンとして組み込んだということだろう。この修正の適用により、IEやIEエンジンを利用したアプリケーションではメモリ破壊が起こされるような未知の脆弱性を突く攻撃があったとしても、致命的なリモートコード攻撃などが成功する可能性は低くなるだろう。その意味で、最優先に適用を推奨していることは理にかなっていると言える。

MS11-052:Vector Markup Languageの脆弱性(2544521)

 VMLとは「Vector Markup Language」の略で、ウェブ上で線分などベクターで構成された図形を表示するためのXMLベースのマークアップ言語だ。

 VMLはIEで標準サポートされているが、後継言語のSVG(Scalable Vector Graphics)がW3Cにより標準として勧告されたため、他のPC用ブラウザーやスマートフォンのブラウザーではSVGのみをサポートするケースがほとんどとなっている。ちなみに、IEではIE8まではSVG表示にはプラグインが必要で、今年3月に公開されたIE9でSVGが標準でサポートされた。

 今回修正される脆弱性の内容は、クライアントPC上のIEがVMLデータを読み込んだときに、正しく初期化されていないVMLオブジェクト、あるいは一度初期化されたものの既に削除されたオブジェクトにアクセスすることで、メモリ破壊を起こし、標的PC上でリモートコード実行が可能な問題があるということだ。

 この悪意のコードを含むような、一見普通のHTMLデータをウェブ上に置くことで、不特定多数のユーザーのPCをリモートコード実行できる危険性がある。そのため、マイクロソフトとしては「最優先で至急修正パッチの適用」を推奨しているのだろう。

 ちなみに、この脆弱性を悪用するコードが作られた場合、その攻撃の確度を示す指標である「Exploitability Index(悪用可能性指標)」は、最悪の「1 - 安定した悪用コードの可能性」となっている。VMLはJavaScriptライブラリとして有名なJQueryなどでも利用されており、一見すると普通のJQueryライブラリだが、VMLの部分だけが書き換えられていて攻撃コードになっているといった攻撃も考えられる。パッチの適用と同時に、リアルタイムで閲覧先のウェブをチェックしてくれるようなウイルス対策ソフトの適用もお勧めしておきたい。


関連情報


(大和 哲)

2011/6/16 06:00