2008年11月のセキュリティ情報

マイクロソフトは、2008年11月のセキュリティ情報を12日に発表した。今回のセキュリティ情報では、もっとも危険度の高い「緊急」が1件で、「重要」が1件となっている。その2件について、その概略を紹介する。

MS08-069:Microsoft XMLコアサービスの脆弱性により、リモートでコードが実行される(955218)

Microsoft XMLコアサービスであるが、XMLのパーサーとして標準ライブラリなどを提供するものである。バージョン3.0/4.0/6.0は、ほぼ標準でWindows OSに実装される。それに対して、バージョン5.0はオフィスなどのアプリケーションに実装されている。この脆弱性を悪用すると、ユーザーがInternet Explorerで細工されたWebページを表示すると、リモートでコードが実行される危険性がある。

全体での深刻度は「緊急」。悪用可能性指標では、「MSXML DTDのクロスドメインスクリプティングの脆弱性」が最も危険な「1」。「MSXMLのメモリ破損の脆弱性」、「MSXMLのヘッダーリクエストの脆弱性」については「2」となっている。影響を受けるソフトウェアは、Microsoft XMLコアサービス3.0/4.0/6.0では次の通り。

  • Microsoft Windows 2000 Service Pack 4
  • Windows XP Service Pack 2/3
  • Windows Vista RTM、Service Pack 1
  • Windows Server 2003 Service Pack 1/2
  • Windows Server 2008(Windows Server 2008 Server Coreインストールは影響を受けない)

また、Microsoft XMLコアサービス5.0では次の通り。

  • Microsoft Office 2003 Service Pack 3
  • Microsoft Word Viewer 2003 Service Pack 3
  • 2007 Microsoft Office System RTM、Service Pack 1
  • Word/Excel/PowerPoint 2007ファイル形式用Microsoft Office互換機能パックRTM、Service Pack 1
  • Microsoft Expression Web
  • Microsoft Expression Web 2
  • Microsoft Office SharePoint Server 2007
  • Microsoft Office SharePoint Server 2007 Service Pack 1
  • Microsoft Office Groove Server 2007

マイクロソフトでは、XMLコアサービス 5.0では一見すると、XMLと無関係に思えるアプリケーションが影響を受けるソフトウェアとなっている点、さらに、Office互換機能パックやExpression Webなどのようにこれまで、修正が行われたことがないソフトウェアがある点に注意を喚起している。特に企業などで、独自のシステム管理を行っている場合には、パッチの適用を忘れずに行うようにとしている。

MS08-068:SMBの脆弱性により、リモートでコードが実行される(957097)

SMBは、通信プロトコルの一種で、ファイル共有などで利用される。今回指摘された脆弱性は、ユーザーが悪意を持ったサーバーにアクセスした際に、認証情報のやりとりの中で、その情報が悪用され、別のサーバーにアクセスした際に、リモートでコードが実行されたり、新たなアカウントが作成されるというものである(レプレイアタックと呼ばれるものだ)。認証情報などの確認にあまい部分があったことが原因とのことである。

しかし、SMBは、外部へ転送されるプロトコルではない。つまり、社内のLANの内部に悪意を持ったサーバーを設置する、ルータなどを介せずで直接インターネットに接続するようなケースで発生するものである。また、何らかの方法で悪意を持ったサーバーにアクセスする必要があり、深刻度は「重要」となっている。悪用可能性指標では、「SMBの資格情報の反映脆弱性」が最も危険な「1」となっている。現時点で、Windows XPの脆弱性に対する悪用コードが一般に公開されているとのことである(具体的に使用された事例は報告されていない)。 影響を受けるソフトウェアは次の通り。

  • Microsoft Windows 2000 Service Pack 4
  • Windows XP Service Pack 2/3
  • Windows Vista RTM、Service Pack 1
  • Windows Server 2003 Service Pack 1/2
  • Windows Server 2008(Windows Server 2008 Server Coreインストールは影響を受ける)

また、今月の悪意あるソフトウェアの削除ツール(MSRT)には、Win32/FakeSecSen(Vista Antivirus 2008)が登録された。Win32/FakeSecSenは、いわゆる偽ウイルス対策ソフトウェアであり、マイクロソフトでは、この種の登録は初めてのことであるとのことだ。その背景には、偽のウイルス対策ソフトの被害拡大である。今後も注意が必要であろう。