パッチ適用が新たな脆弱性を生み出す、MS06-042に警告

月例パッチの1つ、MS06-042を適用することで、新たに悪用につながる脆弱性が生じることが明らかになった。

[高橋睦美，ITmedia]

　Microsoftは8月22日、MS06-042のパッチを適用するとInternet Explorer（IE）6.0 Service Pack（SP）1で不具合が起きる問題を修正したパッチの再リリースを延期した。これと相前後して、MS06-042の適用によってかえって、悪用につながる新たな脆弱性が生じることが明らかになった。

　セキュリティ企業のeEye Digital Securityは8月22日、一部の環境でMS06-042を適用したPCにバッファオーバーフローの脆弱性が生まれてしまっているとし、警告を公開した。任意のコードの実行につながる恐れのある、リスクの高い脆弱性だという。

　eEyeやMicrosoftが新たに公開したセキュリティアドバイザリによると、脆弱性の影響を受けるのはWindows 2000＋IE6 SP1、もしくはWindows XP SP1＋IE6 SP1の環境でMS06-042を適用した場合だ。

　これらの環境でMS06-042を適用したPCについては、HTTP 1.1および圧縮を用いたWebサイトにアクセスするとクラッシュが発生するという問題が報告されていた。eEyeによればこれは「悪意のない」バッファオーバーフローが引き起こされていたためだという。SANSやeEyeではクラッシュは問題の「氷山の一角」に過ぎないといい、注意を呼びかけている。

　Microsoftによると、パッチが引き起こす新たな脆弱性を悪用する攻撃は発見されていない。しかし、脆弱性の存在が明らかになれば、攻撃が発生するリスクが高まることは明らかだ。

　だからといってMS06-042を削除するのも望ましくない。SANS ISCが指摘しているとおり、「このパッチは、引き起こしたもの以上の問題を修正している」からだ。

　eEyeでは、Microsoftがサポートサービスを通じて個別に提供しているプログラムを適用するか、手動でHTTP 1.1を無効にするといった方法で問題を回避するよう推奨している。また、Windows XP SP2やWindows Server 2003の環境では影響は受けない。さらにSANS ISCでは、IEの利用をイントラネットのみに限定するか、FirefoxやOperaといった他のWebブラウザを使うことも代替策として挙げている。