Vistaと仮想化の脆弱性に対処、MSの月例パッチ(2/2 ページ)
シュルツェ氏によると、悪意を持ったガジェットの作成者であれば、ガジェットが動作する画面の端のボックス内でほかのコードを実行できるという。これらの脆弱性のせいで、匿名のリモートの攻撃者がログオンユーザーの特権でコードを実行することができるからだ。
「ユーザーがフィードヘッドラインガジェットの悪意のあるRSSフィードを購読した場合、または悪意のある連絡先ファイルを連絡先ガジェットに追加した場合、もしくはユーザーが天気ガジェットの悪意のあるリンクをクリックした場合、攻撃者によりコンピュータ上でコードが実行される可能性がある」とMicrosoftはセキュリティ情報の説明の中で述べている。Vista以外のOSは、この脆弱性の影響を受けることはない。
最後の「MS07-049」は「重要」レベルの脆弱性であるが、研究者たちは強い関心を示している。この脆弱性は、Virtual PCおよびVirtual Serverでの権限昇格機能に関するもので、ゲストOSのユーザーがホスト上あるいは、ほかのゲストOS上でコードを実行することを可能にする。
X-Forceの研究者、トム・クロス氏は発表文の中で、「この脆弱性は、Microsoftが今月対処した中で最も深刻なものではないが、IBMのISS部門では、Microsoft Virtual PCとMicrosoft Virtual Serverの仮想マシンの脆弱性に関するMS07-049は、最も興味深いと考えている」と述べている。
「IT管理の簡素化やインフラコストの削減のために、仮想化技術を採用する企業が増えている。この傾向が続くのに伴い、MS07-049のような脆弱性を利用し、1つの仮想ホストをコントロールして同じサーバ上のほかの仮想ホストに侵入する攻撃者が現れるだろう。これは新たな種類の攻撃手法であり、独自の防御策が必要とされる」(クロス氏)
Microsoftによると、この仮想化脆弱性を悪用するには、ゲストOSに管理者権限が必要とされるという。
しかしシュルツェ氏によると、この欠陥が注目されるのは、本来越えることができないはずの境界をゲストが越え、あるマシンから別のマシンに侵入することを許すからだという。これが可能なのは、これらのマシンが同一のハードウェア上で動作しているからだ。
「仮想化を利用している企業にとって、これは大きな問題だ」と同氏は話す。MicrosoftのVirtual PCとVirtual Server技術は、VMwareの技術ほど広く普及していないかもしれないが、多くの実運用サーバ上でWebサイトや各種アプリケーションをホストするのに利用されているという。
要約すれば、PatchLinkで市場/製品戦略を担当するシニアディレクターのポール・ジムスキー氏が言うように、今月のPatch Tuesdayは「頭痛の種だらけ」だということだ。
「今回のパッチに関する説明は、広範な攻撃経路の存在を示すものだ」とジムスキー氏は発表文の中で指摘している。「これらの脆弱性によって開かれる潜在的な攻撃ベクター(媒介物)には、直接ターゲットになるOS(32ビット版と64ビット版のVistaを含む)、パッチをフルに適用したInternet Explorer 6/7、XMLコアサービス、Windows Media Player、Officeが含まれる。これはハッカーにとってターゲットに困らない環境だ。早期に登場する攻撃の犠牲になるのを防ぐためにも、企業はできるだけ早く、これらの脆弱性を修正する必要がある」。
「6件の緊急レベルのパッチはいずれも、システムの再起動を必要とする。これらの緊急レベルのパッチ、ならびに重要レベルのパッチのうち2件はすべて、悪用されるとリモートコード実行を許し、ハッカーがマシンを完全に乗っ取ることを可能にする脆弱性に対処したものだ。これらの脆弱性は最悪のシナリオにつながる。これは、攻撃ベクターとしての理想である管理者によるフルアクセスとそれほど変わらない状況だ」とジムスキー氏は語る。
同氏によると、「重要」レベルとされたパッチの中には、実際には「緊急」レベルとして扱うべきものがあるという。
「例えば、Windows Media Playerを利用したリモートコード実行に対処したMS07-047は、ユーザーによる何らかの操作が必要だという理由で重要レベルにしかなっていないが、インターネットをブラウズするユーザーの多くはメディアを表示させている。一部のWebサイトやアクティブコンテンツをブロックする企業はあるが、ストリーミングメディアまでブロックする企業は少ない。この脆弱性が悪用された場合、ユーザーはストリーミングメディアを通じて容易に攻撃にさらされる恐れがある」(同氏)
Microsoftのセキュリティパッチは、2007年8月のセキュリティ情報のWebページからダウンロードできる。
Shavlik Technologiesは8月15日、これらのパッチを顧客に解説するWebセミナーを開催した。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「AIはすぐ進化するから飛びつくのはリスク」 それを超えるメリットとマイナスの消し方
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
ITmediaはアイティメディア株式会社の登録商標です。