「緊急」の脆弱性は3件

「DirectShowの脆弱性により、リモートでコードが実行される(MS07-064)」は、DirectXの一部機能でマルチメディアデータの再生などを行うDirectShowにおいて、ファイルの中身を解析する部分に脆弱性が存在。特別に細工をしたファイルを表示することで、任意のコードが実行され、攻撃者がユーザーのコンピュータを完全に制御してしまう可能性がある。Windowsのストリーミングコンポーネント自体に脆弱性があるため、あらゆるWebサイトで攻撃が行われる可能性があり、サイトを閲覧するだけで攻撃が成功する危険度の高い問題だ。

対象となるOSはWindows 2000 SP4/XP SP2/Vista/Server 2003で、これらに含まれるDirectX 7.0/8.1/9.0c/10.0に脆弱性が存在する。実際にはSAMIファイルの解析とWAVファイルの解析にそれぞれ問題があり、SAMIファイルの問題はWindows 2000 SP4のDirectX 7.0/8.1のみに存在。WAVファイルの問題は前OSに存在する。

「Windows Media Formatの脆弱性により、リモートでコードが実行される(MS07-068)は、Windows Media FormatランタイムがASFファイルフォーマットを解析する方法に問題。任意のコードが実行され、その結果攻撃者はユーザーのPCを完全に制御する可能性がある。

Webページに埋め込まれたASFファイルがストリーミング再生された場合、Windows Media Player、またそれに類するメディア再生ソフト経由で攻撃が行われる可能性がある。なお、ASFファイルの拡張子は、ASFだけでなく、WMVやWMAの場合もある。

対象となるOSはWindows 2000 SP4/XP SP2/Vista/Server 2003に含まれるWindows Media Formatランタイム7.1/9/9.1/9.5/11で、さらにメディアを配信するWindows Media Servicesランタイム9.1(Windows Server 2003)にも同じ問題があり、サーバー側も注意が必要だ。

「Internet Explorer 用の累積的なセキュリティ更新プログラム(MS07-069)」は、Internet Explorer(IE)に含まれる4件の脆弱性を一度に解決するパッチで、いずれの問題でもリモートで任意のコードが実行される脆弱性が存在する。4つの脆弱性は、それぞれ内容の異なる「初期化されていないメモリの破損の脆弱性」が3つと「DHTMLオブジェクトのメモリの破損の脆弱性」で、脆弱性とIEのバージョンによって緊急度の度合いは異なるが、全体の深刻度は「緊急」となっている。

初期化されていないメモリ破損の脆弱性は、いずれもメモリの特定の部分にアクセスする方法に問題があり、リモートでコードが実行されるというもの。特定の部分がそれぞれ異なるため3つの脆弱性に分類されているが、結果としてユーザーがWebサイトを閲覧しただけで攻撃が行われ、コンピュータの制御を完全に奪われる危険性がある。DHTMLオブジェクトのメモリ破損でも同様にコンピュータの制御が奪われる可能性がある。

「重要」の脆弱性4件

「SMBv2の脆弱性により、リモートでコードが実行される(MS07-063)」は、ファイル共有のためのSMBプロトコルの新バージョンSMBv2で追加された機能に脆弱性があり、リモートでコードが実行される。SMBv2はWindows Vistaにしか含まれないため、対象OSはVista。

「メッセージキューの脆弱性により、リモートでコードが実行される(MS07-065)」は、データベースへのアクセス時にトランザクションを管理する仕組みの1つであるメッセージキューサービス(MSMQ)が、入力された文字列を適切にチェックしないためバッファオーバーランが起き、任意のコードが実行される。MSMQを個人ユーザーが使うことはほとんどないが、OSのコンポーネントとして含まれるので注意は必要だ。対象OSはWindows 2000 SP4/XP SP2。

「Windowsカーネルの脆弱性により、特権が昇格される(MS07-066)」は、Vistaから搭載されたLPC(Local Procedure Call)の進化版ALPCに問題があり、ローカルでプログラムが実行された際に、そのプログラムが高い権限で実行される可能性がある。対象OSはVista。

「Macrovisionドライバの脆弱性により、ローカルで特権が昇格される(MS07-067)は、Macrovision SafeDiscを使うゲームで利用されるMacrovisionのドライバに脆弱性が存在。特別に細工をしたアプリをローカルで実行することで特権が昇格、任意のコードが実行される危険性がある。11月6日にセキュリティアドバイザリが公開され、Macrovisionからパッチが提供されていたもので、パッチ自体はまったく同じものだという。この問題のみ、パッチ提供前に悪用コードが発見され、マルウェアを使ったゼロデイ攻撃が確認されている。

Office向けサービスパックでは今後のための改良も

マイクロソフトセキュリティレスポンスチームの小野寺匠氏は、パッチ公開に伴い開催された説明会で、個人ユーザーにはすべてのパッチ適用を推奨し、企業ユーザーも緊急の脆弱性に関しては早急なパッチ適用を勧めている。特にこの時期は、クリスマスや正月といったイベントに絡めた攻撃が増加する時期でもあり、早急に確実な対策をしておくべきだろう。

よほど緊急事態が発生しない限り、年内のパッチ公開はこれで終了となるが、来年1月のパッチ公開では、事前告知が1月4日、パッチ公開が9日(いずれも日本時間)となる。特に事前告知ではまだ企業が休暇中の場合もあるため、小野寺氏は注意を促している。

また、小野寺氏は今日12日から配布が開始された2007 Office System SP1について、セキュリティ上の観点からも適用を推奨。SP1ではセキュリティの新機能は追加されていないが、「今後に向けて細かいコードの修正を加えている」。脆弱性が発生しないようにコードを改善しているため、SP1の方が安全性は高いのだという。