MSの「ダメパッチ」を研究者が指摘
これは「ダメなパッチの物語」だ。
十分なバグフィックスを欠いたままセキュリティパッチをリリースしてしまったというMicrosoftの根本的なミスについて、セキュリティ調査企業が詳細に解説したアドバイザリーを発行した。
Argeniss Information Securityの創設者兼CEO(最高経営責任者)シーザー・セルード氏は、4月12日にリリースされたMS05-018のパッチに不十分なフィックスが含まれており、総合的な保護を提供するためには新しいパッチを作らなくてはならない状況にあることに気付いた。
アプリケーションセキュリティ専門の研究者として有名なセルード氏は、元のパッチが幾つかの攻撃ベクトルを見逃していることに関する詳細な技術解説(PDF形式)を公開した。
元のパッチは、Win32サブシステムのユーザーモード部分であるCSRSS(Client/Server Runtime Server Subsystem)のDoS(サービス拒否)の脆弱性を修正するためのものだった。
しかし、セルード氏は脆弱性実証コードを作成するためにこのバグをリバースエンジニアリングした時に、パッチ適用後もこの脆弱性が悪用可能であることに気付いた。
「この問題は、Microsoftが脆弱な機能にパッチを当てなかったというものだ。同社はこの機能の呼び出し前に確認コードを加えたが、この機能には異なる複数の経路からアクセス可能であり、確認コードが追加されたのはその経路の1つにすぎないということを見落とした」(同氏)
「(問題は)Microsoftが脆弱な機能への経路のうち1つだけにパッチを当て、適切な調査を行ってすべての経路を特定するのを忘れたことだ」と同氏。
セルード氏の文書では、問題の脆弱性と、同氏が言うところの「ダメフィックス」にMicrosoftがどのように取り組んだかの分析が記されており、また同社のプログラマーは結局設計の段階にまで戻って、MS05-049(10月の月例パッチの一部としてリリースされた)を作らなければならなかったと書かれている。
「(MS05-049の)フィックスは適切だが、Microsoftは最初のパッチでちゃんとやるべきだった」と同氏は付け加えた。
「Microsoftは適切なフィックスを作れなかった。このため多くの金と時間を失うことになった」と同氏は語り、エンドユーザーが1つではなく2つパッチを適用しなくてはならなくなったことでも、時間とリソースが失われていると指摘した。
「わたしはこの数年、すべてのセキュリティの側面においてMicrosoftの改善を直接目にしてきたが、同社にはまだ、この種のミスを避けるためにパッチプロセスを調整する必要があると思う」(同氏)
「この一件の教訓は、脆弱な機能に常にパッチを当てるか、少なくとも脆弱な機能にアクセスするすべての経路にパッチを当てるということだ」と同氏は言い添えた。
Microsoftのパッチの品質の低さは、ソフトアップデートプロセスの調整を担当するMSRC(Microsoftセキュリティ対策センター)の大きな汚点となってきた。
同社はセキュリティ対応プロセスの改善に多額の資金を投じ、社外のパッチテスターを募り、広く支持されている構想を幾つか実装した。だが、パッチの品質はまだ大きな悪夢のままだ。
問題のあるパッチの修正は毎月起きるようになっており、MSRCは適切なタイミングでセキュリティフィックスを開発しようと奮闘する中で厳しい立場に立たされている。
Microsoftのセキュリティへの取り組みを追うセキュリティコンサルタント、ダナ・エップ氏は、今回のミスは、セキュリティにおいて人的な要因が今なお「最も弱い部分」であるという証拠だと語る。
「Microsoftに新しいセキュアなプログラミングパラダイムがあっても、最近のパッチの問題は、プロセスが完ぺきでないことを示している。人間はミスをするものだ。Microsoftの社員でもだ」と同氏はセルード氏の発見についてブログで述べている。
エップ氏は、今回のミスはMicrosoftの「もっと大きな問題」を指し示していると語る。同社は、バッファオーバーフローを阻止するためにストリングコピー機能をチェックするという原則をよく知っているからだ。
「(これらの)原則を、パッチを手がけた開発者が見落としたようだ」と同氏。
セルード氏の文書について、Microsoftの広報担当者は、MS05-018とMS05-049のパッチはいずれもCSRSSに影響する脆弱性に対処するものだが、後者は「MS05-018では対処されない新しい脆弱性」を修正するものだとしている。
Microsoftは短い声明文の中で、元のパッチはMS05-018の脆弱性から身を守る役に立つと主張しつつも、このパッチが完全にはリスクに対処していないというセルード氏の主張には応えなかった。
「MS05-049はMS05-018に置き換わるものではない。Microsoftは今後も顧客に、これら両方のパッチと最近のすべてのセキュリティパッチをダウンロードするよう勧める」と同社広報担当者は話した。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。