マイクロソフトは9日、月例で提供しているセキュリティ更新プログラムの6月分を発表した。10件の脆弱性が公表されており、特に影響の大きさを示す最大深刻度「緊急」の脆弱性3件は早急なアップデートが推奨されている。
メディア解凍の脆弱性により、リモートでコードが実行される (979902)(MS10-033)
[MS10-033]は、メディアファイル再生にかかわる、DirectShowを含むWindowsコンポーネントに脆弱性が存在し、リモートでコードが実行されるというもの。2つの脆弱性が含まれるが、いずれも圧縮されたメディアファイルを再生する際に、Windowsがコーデックにメディアファイルを解凍して渡す時点で問題が存在するため、コーデックの種類を問わず影響を受ける。
動画ファイルの再生やストリーミングメディアの再生などでも攻撃が行われるため、Webサイトを閲覧しただけでコードが実行される危険性がある。
最大深刻度は「緊急」で、悪用しやすさを示す悪用可能性指標は、もっとも悪用しやすい「1」。対象となるのはWindows 2000 / XP / Vista / 7、Server 2003 / 2008 / 2008 R2となっている。
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (980195)(MS10-034)
[MS10-034]は、Internet Explorerが利用するActiveXコントロールに脆弱性が存在し、リモートでコードが実行されるというもの。これに対してKillBitを設定することで該当するActiveXコントロールが実行されないようにする。
マイクロソフトの2つのActiveXコントロールに加え、サードパーティの5つのActiveXコントロールも無効にする。無効にされるのはMicrosoft Data Analyzer、Microsoft Internet Explorer 8 Developer Tools、Danske eSec、PSFormX、Ofoto Upload Manager、Kodak Gallery Easy Upload Manager ActiveX Control、CallPilot Unified Messagingの各コントロール。
対象となるのはWindows 2000 / XP / Vista / 7、Server 2003 / 2008 / 2008 R2。最大深刻度は「緊急」。
Internet Explorer 用の累積的なセキュリティ更新プログラム (982381)(MS10-035)
[MS10-035]は、Internet Explorerに6件の脆弱性が存在するというもの。その内1件は事前に脆弱性情報が公開されており、同社から2月の時点でアドバイザリが公表されていたもの。
脆弱性としては、メモリ破損にかかわるものが4件、クロスドメインなどによるブラウザ間の情報漏えいが2件となっており、特にWebサイトの閲覧だけでコードが実行される脆弱性が含まれており、早急な対策が必要だ。
対象となるのはWindows 2000 / XP / Vista / 7、Server 2003 / 2008 / 2008 R2に含まれるIE6/7/8。全体で最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft SharePoint の脆弱性により、特権が昇格される (2028554)(MS10-039)
[MS10-039]は、SharePointに3件の脆弱性が含まれるというもの。その内1件は4月の段階でアドバイザリが公開されており、インターネット上で悪用も確認されているという。
この脆弱性では、SharePointの管理者などに送られたURLをクリックした場合に、そのユーザーの権限が奪取されるという特権の昇格の脆弱性となっている。対象となるのはInfoPath 2003/2007、SharePoint Server 3.0 / 2007で、最大深刻度は「重要」、悪用可能性指標は「1」または「2」となっている。
インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (982666)(MS10-040)
[MS10-040]は、IISで認証機能を強化した設定をしている場合に、メモリ破損の脆弱性が存在するというもので、リモートでコードが実行される危険性がある。
IIS6/7では、認証保護を強化する更新プログラムをインストールした環境、IIS7.5では、Windows認証の役割を追加している環境が対象となり、HTTPリクエストに不正なコードを混入させることでコードが実行される。
最大深刻度は「重要」、悪用可能性指標は「2」。ちなみに、IIS向けのセキュリティ更新プログラムは昨年10月以来のリリースで、同社では確実な適用を促している。
そのほかの脆弱性
上記に加え、最大深刻度「重要」の脆弱性が5件、公表されている。MS01-032は、Windowsカーネルに特別な指示を出すプログラムをローカルで実行させることで、特権が抄訳する脆弱性。2件はすでに公開されていたが、悪用は確認されていない。
MS01-036は、Microsoft Office文書に特別に細工されたCOMコンポーネントを組み込み、それを開くことでコードが実行されるというもの。MS01-038は、Microsoft Excelのファイルフォーマットの解釈に脆弱性が存在し、特別に細工されたExcelファイルを開くことでコードが実行される。この2つの脆弱性は、ファイルを開く際に警告が表示されるので、そこでファイルを開かなければ攻撃は行われない。
MS01-037は、一部のフォントセットを解釈するドライバに問題があり、細工されたフォントデータを読み込む際に特権の昇格が起きるというもので、リモートからの攻撃は行えない。
MS01-041は、ドキュメントに署名を行うHMACに脆弱性が存在し、改ざんされた署名がすり抜けられてしまうというもの。もともと標準化されたRFC2104の記述が曖昧だったために実装上の問題が発生したというもので、同社以外の製品にも同様の脆弱性が存在しているという。
・Windows カーネル モード ドライバーの脆弱性により、特権が昇格される (979559)(MS10-032)
・Microsoft Office の COM の検証の脆弱性により、リモートでコードが実行される (983235)(MS10-036)
・OpenType Compact Font Format (CFF) ドライバーの脆弱性により、特権が昇格される (980218)(MS10-037)
・Microsoft Office Excel の脆弱性により、リモートでコードが実行される (2027452)(MS10-038)
・Microsoft .NET Framework の脆弱性により、改ざんが起こる (981343)(MS10-041)
MSRTで新たなウイルス対応、Windows 2000のサポート終了間近
そのほか同社では、「悪意のあるソフトウェアの削除ツール」(MSRT)で、新たに偽ウイルス対策ソフトのダウンローダー「FakeInit」に対応した。これは同社のウイルス対策ソフト「Microsoft Security Essentials 2010」を騙ったマルウェアをダウンロードしようとするもの。今後、別の偽ウイルス対策ソフトのダウンローダーとして利用される恐れもあるという。
また、7月にはWindows 2000 SP4 / XP SP2のサポートが終了する。今後、セキュリティ更新プログラムのリリースもないため、同社ではWindows 2000ユーザーはWindows 7 / Server 2008 R2へ、Windows XP SP2ユーザーはXP SP3または7へのアップグレードを推奨している。