Vistaと仮想化の脆弱性に対処、MSの月例パッチ（1/2 ページ）

Microsoftは月例Patch Tuesdayで、Vistaと仮想化などに関連した多数のセキュリティ問題に対処した。

[Lisa Vaas，eWEEK]

　8月の月例Patch TuesdayでMicrosoftは、Vistaのセキュリティ問題と仮想化に関連した問題に対処した。また、非常にポピュラーなMicrosoftアプリケーション（Internet ExplorerとExcel）が組み込まれたクライアントマシンを担当するシステム管理者の苦労を軽減するパッチも含まれている。

　Microsoftは8月14日、14件の脆弱性に対処する9件のセキュリティパッチをリリースした。これは2月以来、最大規模のパッチリリースとなるもので、9件のパッチのうち6件は「緊急」レベルとなっている。

　McAfeeのAvertラボでセキュリティ調査と広報を担当するマネジャー、デーブ・マーカス氏は、「9件のセキュリティ情報がリリースされた今日は、今年で2番目に忙しいPatch Tuesdayだ」と発表文で述べている。「Microsoftのパッチで対処した脆弱性の多くは、Windowsユーザーが悪質なWebサイトにアクセスするだけで悪用される恐れがあるものだ。Microsoftのパッチは、Webブラウザを攻撃の手段として利用しようとしているマルウェア作成者が増えていることをあらためて示すとともに、安全なブラウジング習慣の必要性を強調するものである」。

　Microsoftが今回対処できなかった問題もある。Vistaカーネルに影響するATIドライバの脆弱性に対処するためのアップデートである。Microsoftが米eWEEKに語ったところによると、同社は現在、この問題を修正するためのフィックスをAdvanced Micro Devices（AMD）と共同で作成中だとしている。

　Shavlik Technologiesのチーフセキュリティアーキテクト、エリック・シュルツェ氏によると、9件のセキュリティ情報はいずれもクライアントサイドの脆弱性に関連したものだという。言い換えれば、ユーザーによる操作が攻撃の引き金になるということだ。これらは主として、悪質なサイトにアクセスする、悪質なメールを読む、悪質なファイルを開くといった操作である。

　システムにコードを組み込むことが可能なスクリプトを実行するユーザーとは無縁の巨大なサーバファームを運用しているサーバ管理者は、今回の月例パッチに胸をなでおろしていることだろう。シュルツェ氏によると、こういったサーバは安全だという。Code RedやNimbaといったワームの侵入につながるような脆弱性が報告されなかったからだ。

　しかし同氏によると、今回の多数のパッチは、PCの接続を数週間ほど切り離すくらいの警戒を必要とするものだという。悪質なサイトにアクセスすると、6通りの方法で攻撃を受ける可能性があるからだ。

　セキュリティ情報リストの最初の「MS07-042」は、Microsoft XMLコアサービスの脆弱性で、リモートでコードが実行される恐れがあるというもの。深刻度は「緊急」レベル。この脆弱性は、Microsoft XMLコアサービスに対する攻撃で悪用される可能性があり、IE（Internet Explorer）を使用して悪質なWebページを表示するユーザーが影響を受ける。

　セキュリティ情報「MS07-043」はOLE（Object Linking and Embedding）オートメーションの脆弱性に関するもので、やはり「緊急」レベルとなっている。この脆弱性も、悪用されるとシステムが乗っ取られる恐れがある。ユーザーがOLEへの攻撃が仕込まれた悪質なサイトを表示させたときに攻撃を受ける可能性がある。MS07-042とMS07-043はいずれも、同じ研究者らによって発見された。一人はVeriSign iDefense VCPに勤務する匿名の研究者で、もう一人はZero Day Initiativeに携わっている匿名の研究者である。

　「MS07-044」では、3番目の「緊急」レベルの脆弱性について説明されている。これはExcelの問題に対処したもので、ユーザーが悪質なExcelファイルを開くと、リモートでコードが実行される恐れがある。シュルツェ氏によると、これは特に目新しいものではないという。このところ、Excelではセキュリティの脆弱性が次々と明らかになっているからだ。

　セキュリティ情報「MS07-045」は、IEに関連した3件の「緊急」レベルの脆弱性に対処したもの。同ブラウザで悪質なサイトを表示させると、システムが乗っ取られる恐れがある。これは、悪質なWebページが脆弱なシステム上でActiveXコントロールを起動することができるからだ。Vistaに搭載されたIEを含め、ほとんどすべてのIEバージョンが対象となる。

　やはり「緊急」レベルのセキュリティ情報「MS07-046」は、リモートでのコード実行を許す恐れがあるGDIの脆弱性に関するもので、細工を施した画像が含まれる悪質なサイトにアクセスしたユーザーが影響を受ける。バナー広告に仕込まれた悪質な画像やサイト上の悪質な画像を表示させると、その画像を通じてシステムへの攻撃が行われる。シュルツェ氏によると、Microsoftはこれまでにも何度かGDIに関連したパッチを提供したという。

　Qualysの脆弱性研究所のマネジャーを務めるアモール・サーワテ氏によると、MS07-046は最優先で適用すべきパッチであり、その次に緊急性が高いのはIEとExcel用のパッチだという。これらのアプリケーションは広範に普及しており、その脆弱性がリモートコード実行につながるものであるからだ。

　「MS07-050」は、VML（Vector Markup Language）の「緊急」レベルの脆弱性に対処したもの。この脆弱性もリモートコード実行を可能にする。

　「MS07-047」は、Windows Media Player（特にMedia Playerの化粧直しに用いられるスキン）に関連した「重要」レベルの脆弱性で、やはりリモートコード実行につながる恐れがある。

　もう1つの「重要」レベルのセキュリティ情報「MS07-048」は、対象となる2件の脆弱性が古いコードに関連したものではないという点が注目される。最新のアプリケーションであるVistaのWindowsガジェットに関連した脆弱性なのである。Windows Gadgetsでは、時計や気象情報、スポーツ情報の表示などを行うガジェットを画面の端で動作させることができる。