ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

10月のパッチが修正する脆弱性とは

» 2006年10月06日 10時27分 公開
[Matt Hines,eWEEK]
eWEEK

 米Microsoftは10月5日、10月の月例セキュリティアップデートとして、WindowsとOfficeのアップデートを合計で10件リリースすると明らかにした(関連記事参照)

 10日にリリースが予定されているのは、Windowsで特定された問題を修正する6件のセキュリティアップデートと、Officeの脆弱性を修正する4件のアップデートだ。いずれにも、Microsoftが「緊急」(同社において最も深刻なレベルのセキュリティ問題)と判断した問題のパッチが含まれている。

 同社は.NET Webサービスフレームワークについても、「警告」レベルの脆弱性に対処するセキュリティアップデートをリリースする。

 Microsoftはこれらのアップデートで修正しようとしている問題の詳細や緊急レベルのパッチの数を一切明らかにしていない。だが同社は先に、10月のパッチには、Internet Explorer(IE)で発見された、いわゆる「SetSlice」の欠陥を修正するフィックスが含まれると話していた。

 SetSliceは既にハッカーの攻撃ベクトルになっており、この脆弱性を利用したトロイの木馬やrootkitも出回りだしている。

 これらのエクスプロイトコードは、7月にセキュリティ研究者H・D・ムーア氏の「Month of Browser Bugs」プロジェクトで公表されたWindows Shellの脆弱性を標的とする。この脅威を追跡しているウイルスハンターによると、攻撃の一部は、ロシアの既知のサイバー犯罪組織によるものという。

 この攻撃はIEを使って、WebViewFolderIcon ActiveXコントロールの「setSlice()」メソッドで整数オーバーフローを引き起こす。ゼロデイ対策ツールを提供する米Exploit Prevention Labsによると、2つのオンライン犯罪組織がこの欠陥を利用して、正規のWebサイトや掲示板をハッキングし、サイト上にひそかに「iFrame」と呼ばれる不正なHTMLタグを埋め込んでいる。

 恒例として、月例セキュリティアップデートの後には、MicrosoftのMSRT(不正ソフト削除ツール)が最も悪質なマルウェアに対応した新しい定義ファイルでアップデートされる。

 Microsoftは9月に、WindowsとOfficeで発見された緊急レベルの問題を含む4件の脆弱性に対処するアップデートをリリースした。10月の月例パッチが公開されたら、MicrosoftはOfficeに影響する脆弱性を合計で32件報告したことになる。これら脆弱性の多くは、よくハッカーの標的になっている。

 またOfficeの脆弱性を悪用する試みには、Office製品ラインの中で最も広く使われているWord、Excel、PowerPointに対する広範なゼロデイ攻撃を伴ってきた。

 Microsoftは次世代プラットフォームで発見されるソフトの脆弱性を減らすために、次期版WindowsおよびOffice 2007の開発プロセスを向上させるのに力を入れてきた。しかしeWEEKの最近の取材で、セキュリティ技術部門コーポレート副社長ベン・ファシ氏は、月例パッチがすぐになくなることはないだろうと語っていた。

 Microsoft製品の欠陥を減らすための取り組みは、パッチの必要性を減じる役に立つはずだが、ITセキュリティにおいては本質的に、そうすべき時には継続的なアップデートが求められると同氏は述べた。

 「(顧客が)これは継続的なプロセスであると理解してくれることを望んでいる。この先いつか、パッチが少なくなって、リリースする必要がなくなるかもしれないと期待している。だが旧版Windowsのインストールベースは大きく、当社はアプリケーション、さらにサードパーティーの製品にまでパッチを当てているため、パッチは今後も引き続き必要になるだろう。攻撃はOSからスタックを上り、アプリケーションに移っている。OSのパッチは減っているが、アプリケーションのパッチは増えるかもしれない」(同氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.