Microsoftは米国時間4月13日、25件のセキュリティ上の脆弱性を修正する11件のセキュリティ情報を公開した。修正された脆弱性には、ウェブページを閲覧しただけで攻撃を受けてしまう攻撃(自動ダウンロード攻撃)の危険があるものもいくつか含まれている。
これらのセキュリティ情報のうち2つは、Windows 7およびWindows Server 2003 R2を含むすべてのバージョンのWindowsに対して「緊急」にレーティングされている。Microsoftは、一部のケースで「安定した悪用コード」が30日以内に登場すると予想しており、これらのパッチを直ちに適用することの重要性を強調している。
同社はユーザーに対して、今月公表された3つのセキュリティ情報(MS10-019、MS10-026、MS10-027)に特に注意を払うように促している。その理由は以下のとおりだ(編集部注:MSRCブログより引用)。
- MS10-019はすべてのバージョンのWindowsに影響がある。このセキュリティ情報に対しては、Exploitability Indexとして2を与えたが、この問題は攻撃者が署名付きの実行可能なコンテンツ(PEおよびCABファイル)を、署名を無効にすることなく修正することを可能にするものだ。WU/MUコンテンツはこの問題の影響を受けないことに注意してほしい。
- MS10-026はWindows 7、Windows Server 2008 R2、Itanium版のWindows Server 2008およびWindows Server 2003には影響がない。しかし、この問題はWindows 2000、Windows XP、Windows Server 2003、Windows Server 2008では緊急にレーティングされている。この脆弱性は、ウェブページの読み込み時にストリーミングが開始される、特別に細工されたAVIファイルをホストするウェブページを閲覧するだけで悪用される可能性がある。
- MS10-027はWindows 2000およびWindows XPのユーザーにのみ影響があり、特別に細工されたウェブページを閲覧するだけで悪用される可能性がある。
MicrosoftのSR&Dブログに掲載されている以下の表を見れば、今回公表されたセキュリティ情報、深刻度、緩和策を一覧することができる。
セキュリティ情報 | 可能性の高い攻撃ベクター | 最大深刻度 | 最大のExploitability Index評価 | 直近30日間に考えられる影響 | 緩和策および注意事項 |
MS10-027
(WMP) |
悪質なウェブページの閲覧。 | 緊急 | 1 | 安定した悪用コードが開発される可能性あり。 | Windows Vista、Windows Server 2008、Windows 7には影響なし。 |
MS10-026 (DirectShow) |
悪質なウェブページの閲覧、または悪質なAVI動画を開く。 | 緊急 | 1 | 安定した悪用コードが開発される可能性あり。 | Windows 7のコーデックには脆弱性なし。 |
MS10-019 (WinVerifyTrust) |
悪質なEXEファイルをダブルクリックする、コンテンツが信頼できる発行元の証明を受けていると表示されることにより悪質なコンテンツを実行してしまう。 | 緊急 | 2 | Authenticodeのチェックをv2からv1に引き下げる、実際に動作する概念実証コードが登場する可能性あり。Authenticode v1は強度の弱いアルゴリズムとなっている。コードの実行に至るには、攻撃者はAuthenticode v1を迂回する方法を発見する必要がある。 | Microsoft UpdateおよびWindows Updateのクライアントは直接的にはこの脅威に対する脆弱性を持たない。 |
MS10-020
(SMB Client) |
攻撃者は悪質なSMBサーバを企業ネットワークにホストする。攻撃者は被害者を誘導してリンクをクリックさせ、この悪質なSMBサーバに対するSMB接続を開始させる。 | 緊急 | 2 | サービス妨害を引き起こす脆弱性に対する概念実証コードはすでに存在する。これとは異なるクライアントサイドのSMBの脆弱性に対する、サービス妨害を引き起こすことの多い不安定な悪用コードが開発される可能性がある。 | 多くの企業では、Egress filteringによって企業ネットワークへの攻撃者のアクセスは限定的なものになっている。 異なる悪用方法が存在するいくつかの問題がある。詳細についてはSRDブログを参照。 |
MS10-022
(VBScript) |
被害者が悪質なウェブページを閲覧し、VBScriptのメッセージボックスでF1を押すよう誘導される。 | 重要 | 1 | ユーザーがF1を押した後コードが実行される悪用コードが存在し公開されている。公に悪用コードが出回っているにもかかわらず、実際に攻撃が行われたという報告はまだない。 | Windows 7、Windows Server 2008、Windows Vistaでは、この脆弱性は既定の状態では悪用できない。これらのプラットフォームでは多層防御として更新プログラムが提供されており、深刻度の評価の対象となっていない。 Windows Server 2003は、Enhanced Security Configurationの存在により、規定の状態では脆弱性を持たない。 |
MS10-025 (Windows Media Services) |
被害者のWindows 2000のマシンでWindows Media Servicesが有効になっていた場合、攻撃者はポート1755(TCPあるいはUDP)を使用し、ネットワークを経由した攻撃を行うことができる。 | 緊急 | 1 | 安定した悪用コードが開発される可能性あり。 | Windows 2000にのみ影響がある。 |
MS10-021
(Kernel) |
ローカルでコードを実行できる攻撃者がこの脆弱性を悪用し、高いレベルの特権でコードを実行する。 | 重要 | 1 | 8件の脆弱性のうち、1件以上の脆弱性について安定した悪用コードが開発される可能性あり。 | SRDブログの記事で、Windowsレジストリリンクの脆弱性について説明している。 |
MS10-024
(SMTP Service) |
攻撃者が悪質なDNSサーバによって処理されるDNS問い合わせを開始することにより、64ビット版Windows Server 2003上で実行されているSMTPサービスをクラッシュさせる。 | 重要 | n/a | コードが実行される可能性はない。SMTPサービスをクラッシュさせる概念実証コードが登場する可能性はあるが、Exchange Serverについては可能性はない。 | Exchange Serverは、脆弱性のあるバージョンが64ビット版アプリケーションとして出荷されたことがないため、直接的にはサービス妨害を引き起こす脆弱性の影響を受けない。32ビット版のExchange Serverに対し、追加的なDNSの保護を付加するセキュリティアップデートが適用される。 |
MS10-028
(Visio) |
被害者が悪質な.VSDファイルを開く。 | 重要 | 1 | Visioに対する攻撃はあまり出回っていない。悪用コードがリリースされるかどうかは定かではない。 | Officeがインストールされているケースのほとんどでは、Visioはインストールされていない。 |
MS10-023
(Publisher) |
被害者が悪質な.PUBファイルを開く。 | 重要 | 1 | Publisherに対する攻撃はあまり出回っていない。悪用コードがリリースされるかどうかは定かではない。 | |
MS10-029
(ISATAP) |
攻撃者がIPv4ラッパーの内部にIPv6の攻撃パケットをカプセル化することで、ソースアドレスを偽装する。これによって、攻撃者は本来ならブロックされているIPv6のあて先に到達することができる可能性がある。 | 警告 | n/a | 概念実証コードが公表される可能性あり。 |
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ