マイクロソフトは、月例のセキュリティ情報の11月分を公開し、2つのセキュリティパッチの提供を開始した。Windows OSとサーバ製品にそれぞれ1つ、計2つの脆弱性が存在し、特にすでに悪用コードが出回っているWindowsの脆弱性に関しては早急にパッチを適用することが推奨されている。

公開されたパッチは

  • Windows URI処理の脆弱性により、リモートでコードが実行される(943460)(MS07-061)
  • DNSの脆弱性により、なりすましが行われる(941672)(MS07-062)

という2つの脆弱性を修正するもの。

Windows URI処理の脆弱性により、リモートでコードが実行

MS07-061は、64bit版を含むWindows XP SP2/Server 2003 SP1/Server 2003 SP2に脆弱性が存在。URI(Uniform Resource Identifier)の処理を行うWindowsシェルの一部の機能に欠陥があり、別のアプリケーションにURIを渡す際にリモートでコードが実行され、任意のプログラムが実行されてしまう。たとえばメール本文に書かれた特別な文字列が含まれるURLをクリックしてInternet Explorer 7を起動しようとすると、攻撃者が任意のプログラムを起動できてしまう。最大深刻度は「緊急」だ。

すでに悪用コードがインターネット上で出回っており、IE7に加えて「.pdf」で終わるURIをクリックしてアドビ システムズの「Adobe Reader」を立ち上げようとして任意のプログラムを実行させる手口も公開されている。

これに関しては、PDFファイルを使ったウイルスが登場しており、アドビは10月にAdobe Acrobat/Readerの脆弱性を修正するパッチを公開、この問題に対処していた。今回のパッチを適用することでWindows自体に含まれる脆弱性も解消されるため、Acrobat/Reader以外のアプリケーションでの同様の問題は回避できる。

マイクロソフトのセキュリティレスポンスチームの小野寺匠氏によれば、今回の問題はWindowsの脆弱性ではあるが、不正なURIが実行された際に、それを受け取るアプリケーション側が不正なURIをフィルタリングしていなければどんなアプリケーションでも同様の問題が起こりえると指摘。あらかじめアプリケーション開発時にこうした対策を施すべきであるほか、今後の問題発生に備えて対策を実施しておくことの重要性を強調した。なお、Windows 2000には同様の機能がなく、Windows Vistaでは最初から対策されていたため、今回の問題の影響を受けないそうだ。

現時点では、IE7とAdobe Acrobat/Readerなど3種類のアプリケーションに対する攻撃コードが確認されているということで、実際の攻撃が行われる危険があるため早急にパッチを適用することが求められている。

DNSの脆弱性による"なりすまし"

MS07-062は、Windows 2000 Server SP4/Server 2003のDNSサーバ機能に脆弱性が存在し、誤ったレスポンスに応えてしまうことで、本来のアドレスとは異なるサーバにアクセスしてしまう"なりすまし"の危険性がある。最大深刻度は上から2番目の「重要」。

一般ユーザーにはあまり関係ないが、特にActive Directoryを使っている企業であればDNSサーバが稼働している場合が多いので注意が必要だ。この脆弱性を悪用することで、企業ユーザーが正しいURLを入力してWebサイトにアクセスしても、攻撃者が用意した別のサイトにアクセスしてしまうことになり、フィッシング詐欺などで悪用される危険性がある。

もっとも、小野寺氏によれば今回の脆弱性を悪用するためには、DNSサーバのリクエストをモニターし続けるなど労力が必要なうえ、確実性に欠けるという。そのため悪用の危険性は大きくはなく、さらにサーバに対する一般的な防御を実施していれば攻撃はすぐに発見できるとしており、検証やメンテナンスも検討したうえでパッチを適用しても大丈夫ではないか、としている。

なお、MS07-062に関しては実際の攻撃は確認されていないという。