PR

 マイクロソフトは2009年7月15日、Windowsなどに関するセキュリティ情報を6件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたファイルやWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。実際、脆弱性を悪用した攻撃が確認されている。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)の適用。

危険な「緊急」は3件

 最大深刻度が「緊急」のセキュリティ情報は以下の5件。

(1)[MS09-028]Microsoft DirectShowの脆弱性により、リモートでコードが実行される (971633)
(2)[MS09-029]Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (961371)
(3)[MS09-032]ActiveX の Kill Bitの累積的なセキュリティ更新プログラム (973346)

 (1)は、Windowsのマルチメディア機能「Microsoft DirectX」に関するセキュリティ情報。セキュリティ情報には3件の脆弱性が含まれる。いずれもQuickTime形式のメディアファイル(拡張子が.movや.qtなど)の処理に関する脆弱性。細工が施されたQuickTimeメディアファイルを開くと、中に仕込まれたウイルス(悪質なプログラム)を勝手に実行される恐れがある。そういったファイルが置かれたWebサイトにアクセスするだけでも被害に遭う危険性がある。

 実際、3件中1件については、悪用が確認されている。いわゆる「ゼロデイ攻撃」である。このためマイクロソフトでは、脆弱性の概要や回避策をまとめた情報(セキュリティアドバイザリ)を2009年5月29日に公開したものの、修正パッチは未公開だった。それが今回、脆弱性の詳細とともに修正パッチが公開された。

 今回の脆弱性は、DirectX 7.0/8.1/9.0に見つかった。これらのDirectXは、Windows 2000/XP/Server 2003に含まれるため、これらのWindowsが影響を受ける。Windows VistaやServer 2008に含まれるのはDirectX 10なので影響を受けない。

 (2)は、Windowsに標準で含まれるコンポーネント「Embedded OpenType(EOT)フォントエンジン」に関するセキュリティ情報。EOTフォントとは、Webページなどで使用するために設計されたフォント形式。Webページや文書ファイルにフォントの情報を埋め込むことで、どのような環境であっても、ページやファイルの作者が意図したとおりに表示されるようにする。

 今回、このEOTフォントを処理して表示するコンポーネントに脆弱性が見つかった。Webページや文書ファイル中に埋め込まれた、細工が施されたEOTフォントを表示しようとすると、中に仕込まれたウイルスなどを実行される危険性がある。影響を受けるのは、現在サポート対象となっているすべてのWindows(Windows 2000/XP/Server 2003/Vista/Server 2008)。

 (3)は、Windowsに含まれる「Microsoft Video ActiveXコントロール」に関するセキュリティ情報。影響を受けるのはWindows 2000/XP/Server 2003。このActiveXコントロールには、特定のデータを適切に処理できない脆弱性が存在する。細工を施したデータを読み込まされると、そのデータに含まれる悪質なプログラムを勝手に実行される恐れがある。

 加えてこのActiveXコントロールは、Internet Explorer(IE)経由でWebページから呼び出すことができる。このため、このActiveXコントロールを呼び出して、特定のデータを読み込ませるようなWebページを攻撃者が用意すれば、そのページにアクセスしたユーザーのパソコン上でウイルスなどを実行できる。

 実際、そのようなWebページが多数出現。セキュリティ企業などによれば、数千の正規サイトが改ざんされ、この脆弱性を悪用するプログラムが埋め込まれたという。このためマイクロソフトでは、2009年7月7日にセキュリティアドバイザリを公開し、脆弱性の概要や回避策を公開した。

「重要」のセキュリティ情報は3件

 最大深刻度が上から2番目の「重要」に設定されているのは以下の3件。

(4)[MS09-030]Microsoft Office Publisherの脆弱性により、リモートコードが実行される (969516)
(5)[MS09-031]Microsoft ISA Server 2006の脆弱性により、特権が昇格される (970953)
(6)[MS09-033]Virtual PCおよびVirtual Serverの脆弱性により、特権が昇格する (969856)

 (4)は、Microsoft Office Publisherに関するセキュリティ情報。Publisher 2007には、特定のデータを適切に処理できない問題が見つかった。このため、細工が施されたPublisherファイルを開くと、中に仕込まれた悪質なプログラムを実行される危険性がある。

 (5)は、Internet Security and Acceleration (ISA) Server 2006に関するセキュリティ情報。同製品が実装する認証方法の一つに脆弱性が見つかった。このため、同製品で保護しているWebサーバーなどに対して、権限のないユーザーのアクセスを許す恐れなどがある。

 (6)は、Microsoft Virtual PCおよびMicrosoft Virtual Serverに関するセキュリティ情報。これらには、ゲストOSにおいて特定の命令を実行する際に、ユーザー権限などを適切に検証しない脆弱性が見つかった。細工を施したプログラムをゲストOS上で実行すると、ゲストOSの管理者権限を奪うことができるという。

 ただし、ホストOSは影響を受けない。このため、「Virtual PCよりも、Virtual Serverの方が影響が大きいだろう」(マイクロソフト カスタマーサービス&サポート セキュリティレスポンスチーム セキュリティレスポンスマネージャの小野寺匠氏)。

 影響を受けるのは、Virtual PC 2004/2007、Virtual Server 2005。Virtual PC for Mac 7.1は影響を受けない。Windows Server 2008 Hyper-Vや、Windows 7上のWindows Virtual PCおよびWindows XPモードも影響を受けない。

 いずれの脆弱性についても、対策は修正パッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。

 なお(3)については、Windows VistaとServer 2008は影響を受けないものの、修正パッチは予防的に適用されるという。