[eWEEK] 10月のパッチが修正する脆弱性とは

2006/10/7

 10月の月例パッチで修正される脆弱性の中には、SetSliceのバグが含まれる。このバグは、すでにサイバー犯罪組織によって悪用されている。

 米マイクロソフトは10月5日、10月の月例セキュリティアップデートとして、WindowsとOfficeのアップデートを合計で10件リリースすると明らかにした。

 10日にリリースが予定されているのは、Windowsで特定された問題を修正する6件のセキュリティアップデートと、Officeの脆弱性を修正する4件のアップデートだ。いずれにも、マイクロソフトが「緊急」(同社において最も深刻なレベルのセキュリティ問題)と判断した問題のパッチが含まれている。

 同社は.NET Webサービスフレームワークについても、「警告」レベルの脆弱性に対処するセキュリティアップデートをリリースする。

 マイクロソフトはこれらのアップデートで修正しようとしている問題の詳細や緊急レベルのパッチの数を一切明らかにしていない。だが同社は先に、10月のパッチには、Internet Explorer(IE)で発見された、いわゆる「SetSlice」の欠陥を修正するフィックスが含まれると話していた。

 SetSliceはすでにハッカーの攻撃ベクトルになっており、この脆弱性を利用したトロイの木馬やrootkitも出回りだしている。

 これらのエクスプロイトコードは、7月にセキュリティ研究者H・D・ムーア氏の「Month of Browser Bugs」プロジェクトで公表されたWindows Shellの脆弱性を標的とする。この脅威を追跡しているウイルスハンターによると、攻撃の一部は、ロシアの既知のサイバー犯罪組織によるものという。

 この攻撃はIEを使って、WebViewFolderIcon ActiveXコントロールの「setSlice()」メソッドで整数オーバーフローを引き起こす。ゼロデイ対策ツールを提供する米Exploit Prevention Labsによると、2つのオンライン犯罪組織がこの欠陥を利用して、正規のWebサイトや掲示板をハッキングし、サイト上にひそかに「iFrame」と呼ばれる不正なHTMLタグを埋め込んでいる。

 恒例として、月例セキュリティアップデートの後には、マイクロソフトのMSRT(不正ソフト削除ツール)が最も悪質なマルウェアに対応した新しい定義ファイルでアップデートされる。

 マイクロソフトは9月に、WindowsとOfficeで発見された緊急レベルの問題を含む4件の脆弱性に対処するアップデートをリリースした。10月の月例パッチが公開されたら、マイクロソフトはOfficeに影響する脆弱性を合計で32件報告したことになる。これら脆弱性の多くは、よくハッカーの標的になっている。

 またOfficeの脆弱性を悪用する試みには、Office製品ラインの中で最も広く使われているWord、Excel、PowerPointに対する広範なゼロデイ攻撃を伴ってきた。

 マイクロソフトは次世代プラットフォームで発見されるソフトの脆弱性を減らすために、次期版WindowsおよびOffice 2007の開発プロセスを向上させるのに力を入れてきた。しかしeWEEKの最近の取材で、セキュリティ技術部門コーポレート副社長ベン・ファシ氏は、月例パッチがすぐになくなることはないだろうと語っていた。

 マイクロソフト製品の欠陥を減らすための取り組みは、パッチの必要性を減じる役に立つはずだが、ITセキュリティにおいては本質的に、そうすべき時には継続的なアップデートが求められると同氏は述べた。

 「(顧客が)これは継続的なプロセスであると理解してくれることを望んでいる。この先いつか、パッチが少なくなって、リリースする必要がなくなるかもしれないと期待している。だが旧版Windowsのインストールベースは大きく、当社はアプリケーション、さらにサードパーティーの製品にまでパッチを当てているため、パッチは今後も引き続き必要になるだろう。攻撃はOSからスタックを上り、アプリケーションに移っている。OSのパッチは減っているが、アプリケーションのパッチは増えるかもしれない」(同氏)

[英文記事]
Microsoft Preps 11 Security Patches, Some Critical

[関連記事]
ネットで検証、パッチなしのWindows 2000は1時間強で侵入される (@ITNews)
シマンテックが警告、「パッチの適用、猶予は1週間以内」 (@ITNews)
[eWEEK] ウイルス付きの「偽MS月例パッチ」出回る (@ITNews)
価格.comが不正侵入で閉鎖、高度技術の組織犯に狙われる (@ITNews)

Copyright(c) eWEEK USA 2006, All rights reserved.

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)