Microsoftの4月のセキュリティパッチが公開されている(訳注:日本での月例パッチの公開は4月15日午後に予定されている)。今回は、少なくとも20件の明文化された脆弱性を対象とした、8件のセキュリティ情報が公開された。
これらのセキュリティホールの中でもっとも深刻なものは、悪意のあるハッカーに脆弱性を持つマシンを完全に乗っ取られてしまう、リモートからのコード実行攻撃につながる可能性がある。4月の月例パッチには、現在すでに盛んに悪用されている、複数のコード実行バグ(Microsoft ExcelおよびMicrosoftワードパッド)に対する修正と、少なくとも1年前から公に知られていた2つの問題(トークンキッドナッピングの問題と、SafariとInternet Explorerの組み合わせ問題)に対する修正が含まれている。
(参照:One-year-old (unpatched) Windows 'token kidnapping' under attack)
一見したところでは、ウェブベースの攻撃による脅威が増えていることから、WindowsユーザーはInternet Explorerに対する累積アップデート(MS09-014)を最優先で扱うべきだ。このアップデートは、次のような問題を対象としている。
この累積的なセキュリティ更新プログラムは Internet Explorer に存在する 4 つの非公開で報告された脆弱性と 2 つの公開された脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer を使用して表示した場合、またはユーザーが HTTP プロトコルを介し攻撃者のサーバーに接続した場合、リモートでコードが実行される可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
MicrosoftのSWIチームは、次のように説明している。
| セキュリティ情報 | 最大深刻度 | 最大悪用可能性指標 | 公知の脆弱性の有無 | コード実行の攻撃ベクトル/備考 |
| MS09-009 | 緊急 | 高(1) | 有り。CVE-2009-0238がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたXLSファイル。これらの脆弱性は、Office 2000でのみ緊急にレーティングされている。他のバージョンのOfficeではユーザーが確認メッセージをクリックしなくてはならず、深刻度は重要になる。 |
| MS09-010 | 緊急 | 高(1) | 有り。CVE-2009-0235がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたRTF、WRI、DOCファイル。コンバーター攻撃の詳細については、この記事を参照すること。 |
| MS09-013 | 緊急 | 高(1) | 有り。CVE-2009-0550の悪用ツールが存在する(SMBRelay)。ただし、このCVEの深刻度は緊急ではなく重要となっている。 | 緊急にレーティングされているCVEに対する攻撃ベクトルでは、クライアントアプリケーションがWinHTTPを使い、悪意のあるサーバに対するネットワーク経由の要求を生成する。悪意のあるサーバは不正な形式の要求メッセージで応答することで、クライアントサイドアプリケーションをクラッシュさせるか、そのアプリケーションを実行しているユーザーのコンテキストでコードを実行させる。Internet ExplorerはWinHTTPを使用しない。 |
| MS09-014 | 緊急 | 高(1) | 有り。CVE-2008-2540が公知になっている。ただし、この脆弱性のレーティングは「警告」となっている。このセキュリティ情報では、上記のCVE-2009-0550の問題の一部についても修正している。 |
緊急にレーティングされているCVEに対する攻撃ベクトルは、Internet Explorerによる悪意のあるウェブサイトへの接続になる。 公知のCVE-2008-2540(Safariじゅうたん爆撃攻撃)をどう解決したかについては、この記事を参照すること。 |
| MS09-011 | 緊急 | 中(2) | 無し。 | 電子メールに添付されたAVIファイル、またはAVIファイルにリンクされたウェブページ |
| MS09-012 | 重要 | 高(1) | 有り。悪用ツールが一般に入手できる。 | 攻撃者がIISでホストされたウェブアプリケーションを乗っ取った後、これらの脆弱性を使えば、SYSTEMに昇格できる。この脆弱性をどう解決したかについては、この記事を参照すること。 |
| MS09-016 | 重要 | 低(3) | 有り。この脆弱性の一部の情報が公知になっている。 | コード実行の危険はない。 |
| MS09-015 | 警告 | 高(1) | 有り。 | 攻撃ベクトルは知られていない。 |
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
