マイクロソフトは9日、月例で提供しているセキュリティ更新プログラムの12月分を公開した。セキュリティアドバイザリとして公開されていたInternet Explorerのゼロデイの脆弱性を解消するパッチも公開されており、対象となるユーザーは早期のパッチ適用が推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (976325)(MS09-072)

MS09-072は、IE8を含む、現行のIEすべてが影響を受ける脆弱性で、5つの脆弱性が含まれており、そのうちの1種類は、悪用コードが公開されたとして11月24日にセキュリティアドバイザリとして情報提供が行われていた。

含まれる脆弱性は、「ATL COMの初期化の脆弱性」「HTMLオブジェクトのメモリ破損の脆弱性」と、「初期化されていないメモリ破損の脆弱性」3種類の計5種類。このうち、HTMLオブジェクトのメモリ破損の脆弱性がすでに公開されていたものだ。

いずれもリモートでコードが実行される脆弱性で、Webサイトを閲覧しただけで攻撃が行われる。危険度を表す最大深刻度は「緊急」、悪用されやすさを示す悪用可能性指標はすべての脆弱性で最も高い「1」。対象となるのはIE5.01 / 6 / 7 / 8となっている。

なお、現時点でこの脆弱性を使った攻撃は確認されていないが、パッチ提供後に攻撃が発生することも多いので、ユーザーは早期のパッチ適用をすべきだ。

インターネット認証サービスの脆弱性により、リモートでコードが実行される (974318)(MS09-071)

MS09-071は、「インターネット認証サービス」(IAS)の認証プロトコルの実装に問題があり、リモートでコードが実行される、または特権の昇格が起こる脆弱性。IASのPEAP(Protected Extensible Authentication Protocol)とMicrosoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2)の2つにそれぞれを利用している場合に問題が発生する。

対象となるのはWindows 2000 / XP / Vista / Server 2003 / Server 2008で、サーバー側はIASをインストールしている環境において影響を受ける。IASを利用するクライアント側にも影響があり、こちらはIASのインストールは必要がないので、クライアント側もパッチを適用しなければならない。

ただし、悪用可能性指標はそれぞれ「2」と「3」であり、安定的な攻撃は起こりづらい。PEAPの脆弱性に関しては、多くの場合サービス拒否攻撃が行われるという。全体の深刻度は「緊急」。

Microsoft Office Project の脆弱性により、リモートでコードが実行される (967183)(MS09-074)

MS09-074は、Microsoft Office Projectにメモリ検証の脆弱性が存在し、リモートでコードが実行されるというもので、特別に細工をされたProjectファイルを開くことで攻撃が行われる。

対象となるのはProject 2000 / 2002 / 2003 SP2で、Project 2003 SP3 / 2007、Project Portfolio Server 2007 / Project Server 2007は影響を受けない。最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

Local Security Authority Subsystem Service (LSASS) の脆弱性により、サービス拒否が起こる (974392)(MS09-069)

MS09-069は、Windowsで認証を司るサービスであるLocal Security Authority Subsystem Service(LSASS)に脆弱性が存在するというもの。

LSASSを使ったIPsec通信中に、攻撃者が特別に細工されたISAKMPメッセージをサーバーに送信することで、サービス拒否攻撃が行われる。ただし、インターネット経由での攻撃は考えにくく、あらかじめ認証された攻撃者が攻撃を行うため、攻撃者を特定しやすいという。

影響を受けるのはWindows 2000 / XP / Server 2003で、最大深刻度は「重要」、悪用可能性指標は最も低い「3」となっている。

Active Directory フェデレーション サービスの脆弱性により、リモートでコードが実行される (971726)(MS09-070)

MS09-070は、Active Directoryの機能のひとつであるフェデレーションサービス(ADFS)に2つの脆弱性が存在し、リモートでコードが実行される、または、なりすましの攻撃が行われる危険性がある。

ADFSは、2つのActive Directoryを相互接続するサービスで、一方のActive Directoryの認証で、もう一方のActive Directoryの認証を通過できるようにするためのもの。なりすましとリモートでコードが実行される危険性の2種類があるが、多くはサービス拒否攻撃になるという。

また、ADFSは意図的にインストールする必要があるため、既定では攻撃が行われない。最大深刻度は「重要」、悪用可能性指標はなりすましが「3」、リモートでのコード実行が「1」となっている。

ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (975539)(MS09-073)

MS09-073は、Windowsに標準で含まれるテキスト編集ソフト「Microsoftワードパッド」にメモリ破損の脆弱性が存在し、リモートでコードが実行されるというもの。

ワードパッドがMicrosoft Office Word 97形式のファイルを開く際に問題が存在し、結果としてコードが実行されてしまう。Office 97形式のファイルを変換するテキストコンバーターにも同様の脆弱性が存在する。ワードパッドとテキストコンバーターは、いずれもWindowsに標準で組み込まれているので、多くの環境で脆弱性の影響がある。

影響を受けるのはWindows 2000 / XP / Vista / Server 2003 / Server 2008、Office XP / 2003、Microsoft Works 8.5、Microsoft Office Converter Packで、Windows 7 / Server 2008 R2は影響を受けない。悪用可能性指標は「2」となっている。

悪意のあるソフトウェアの削除ツール(MSRT)

月例パッチの適用と同時に、システム内のマルウェアを削除するMSRTも更新され、12月は「Win32/Hamweq」に対応した。これはメキシコなどで特に流行しているバックドア。

なお、緊急でのパッチリリースがない限り、2009年のパッチ配布はこれが最後となる。次のパッチ更新は2010年1月13日になる予定だ。