MS、広範な影響が懸念される.NETの脆弱性に対処

Microsoftは7月の月例パッチで、緊急レベルの.NET脆弱性などに対処した6件のセキュリティ更新プログラムを公開する。

[Lisa Vaas，eWEEK]

　Microsoftは7月10日の月例Patch Tuesdayで6つのパッチをリリースする。そのうちの1つは、.NET Frameworkの緊急レベルの脆弱性に対処したもの。この脆弱性は、Microsoftが積極的にサポートしているすべてのプラットフォーム上で動作する広範なアプリケーションに影響する可能性がある。

　Microsoftの.NET Frameworkは、同社の各OSに組み込まれている（あるいは追加可能な）コンポーネントであり、これには共通のプログラム要求に対応したコードが含まれている。.NET Frameworkは、Windows向けに開発される新しいアプリケーションで利用され、Microsoftの製品の中核的コンポーネントとなるものである。このため、そのコアライブラリは、ユーザーインタフェース、データアクセス、データベース接続、暗号化、Webアプリケーション開発、各種アルゴリズム、ネットワーク通信など、アプリケーションが利用する数多くの重要な機能をカバーしている。これらの機能はいずれも、セキュリティ的に重要なポイントとなるものだ。

　.NET Framework自体も、コードに対して許可された権限のチェックをするCAS（Code Access Security）に加え、検証／認証要求といったセキュリティメカニズムを備えている。

　Microsoftが7月分のパッチセットをリリースする7月10日の朝の時点まで、.NET用パッチが具体的にどのコードに対処するのかは不明だが、Microsoftによると、この脆弱性はリモートコードの実行を許す恐れがあるという。リモートコード実行はシステムの乗っ取りにつながる可能性があるため、最悪の脆弱性だと考えられている。

　PatchLinkでソリューションと戦略を担当するディレクター、ドン・リーサム氏は、「MicrosoftのSecurity Bulletin Advance Notificationの内容を詳しく分析すれば、この脆弱性の影響を受けるのは、.NETのインストールが可能なすべてのプラットフォーム上で動作するソフトウェアであることが分かる」と指摘する。

　「影響を受けるバージョンには、最新の.NET技術も含まれる。このため、その影響は広範囲に及ぶものと思われる。当社としては、できるだけ早くパッチを入手するよう顧客にアドバイスしている」（同氏）

　.NETは広範に普及しており、多数のプログラムや社内開発プロジェクトが同フレームワークをベースとして構築されているため、パッチによって何らかの障害が起きる可能性も高いという。このためPatchLinkでは、パッチの導入に際しては段階的なアプローチで臨むよう顧客にアドバイスしている。最初にテストネットワークにパッチを導入して重要なアプリケーションのテストを行った後で、より重要な業務グループまたは業務フェーズへの配備を段階的に進めるべきだとしている。

　Microsoftによると、今回の緊急レベルの脆弱性の影響を受ける7つの.NETバージョンは、リモートコード実行につながる恐れがある。.NET、ならびにそのコードコンポーネントを利用して開発されたアプリケーションの重要性は広範囲に及ぶため、アナリストらは企業に対して、できるだけ早くこの脆弱性にパッチを適用するようアドバイスしている。

　影響を受ける.NETバージョンの詳細については、Microsoftの「Security Bulletin Advance Notification」ページを参照していただきたい。

　Microsoftは、このほかにも2件の緊急レベルの脆弱性に対処するパッチをリリースする。いずれも.NETの脆弱性と同様、システムの乗っ取りにつながる恐れがある。これらのパッチの1つはOfficeとExcelに影響する脆弱性、もう1つはWindowsに影響する脆弱性に対処したもの。

　特にExcelの脆弱性は要注意だ。というのも、このアプリケーションはInternet Explorer（IE）で暗黙のうちに信頼されているからだ。悪意をもって作成されたWebサイトを訪れたユーザーが、感染した.xlsファイルを呼び出すリンクをクリックする可能性もある。こういったExcelファイルはIEのウィンドウフレームに埋め込まれ、ブラウザからHTTPプロトコルを通じて呼び出されるため、IEはユーザーがこれらのファイルを操作するのを許可する。これは以前よりも厄介な状況だと言える。かつては感染ファイルが電子メールを通じて送り込まれてきたが、メールフィルタは一般に、感染したファイルを検知・隔離することができる。

　「IE内に埋め込まれたドキュメントとして侵入された場合には、必ずしもこれを検知できるとは限らない」とリーサム氏は話す。

　埋め込まれたExcelファイルを通じた感染を防ぐ手段としては、IEのセキュリティ設定を利用するという方法がある。埋め込まれたファイルを開くときに警告を行う設定にし、グループポリシーオブジェクトを通じてこれを適用するのである。

　eEyeの「Zero-Day Tracker」サイトでは、Microsoftが今回パッチを提供しないものとして、PowerPointの中程度の脆弱性を挙げている。これは発見後、既に270日が経過している。

　今回リリースされるパッチのうち2件は、重要レベルとされる脆弱性に対処したもの。これらの脆弱性もリモートコードの実行を許す恐れがある。1つはOffice Publisherに関係するもので、もう1つはWindows XP Professionalに関係する。

　Vistaにもパッチが提供される。リーサム氏によると、この最新OSは緊急レベルの.NETの脆弱性の影響を受ける可能性があるのに加え、MicrosoftはVistaに対して警告レベルの脆弱性に対処するパッチをリリースするという。この脆弱性は情報漏えいにつながる恐れがある。

　Microsoftは、Malicious Software Removal Toolのアップデートも行う予定だ。これはSUS（Software Update Services）を通じて提供されるアップデートではない。SUSはセキュリティ関連以外で優先度が高いアップグレードを対象としたサービスである。Microsoft Windows Malicious Software Removal Toolのアップデートは、Windows Update、Microsoft Update、Windows Server Update ServicesおよびDownload Centerを通じて提供される。

　またMicrosoftでは、MU（Microsoft Update）およびWSUS（Windows Server Update Services）上で、セキュリティ関連以外で優先度の高い4件のアップデートのリリースも予定している。

原文へのリンク