MS、10月のセキュリティ情報 - IEやExcelなど緊急4件を含む脆弱性情報

マイクロソフトは15日、月例で提供しているセキュリティ修正プログラムの10月分を公開した。Internet ExplorerやExcelなど、複数の脆弱性情報とプログラムが提供されており、関係があるユーザーは早急にパッチを適用する必要がある。危険度を表す「最大深刻度」は、もっとも危険な「緊急」の脆弱性が4件、その次に危険な「重要」が6件、そして「警告」が1件となっている。

悪用の危険性を示す「悪用可能性指標」

従来マイクロソフトでは、脆弱性情報の危険度を表す最大深刻度を公開していたが、今月からさらに「悪用可能性指標(Exploitability Index)」も合わせて公開されるようになった。この指標は、個々の脆弱性について、将来的に悪用される危険性があるかどうかを3段階で評価したもの。

同社のセキュリティレスポンスチーム小野寺匠氏によれば、新たな指標は脆弱性がどれだけ悪用しやすいか、作成された攻撃コードが作成されやすいか、作成された場合にどういった機能をするのかなどの点から評価したもので、指標の「1」は、環境依存やアプリケーション依存が少なく、安定して攻撃が成功してしまう危険なもの。指標「3」は環境依存が多いためにほとんどコードが機能しないレベル。中間の「2」は、コードは機能するが結果が一定せず、成功することも失敗することもあるレベルだという。

これにより、パッチ適用に伴う再起動や攻撃回避のための設定変更も避けたい場合に、個々の脆弱性の深刻度に加えて攻撃されやすさの指標も加味して検討できるようになるため、特にミッションクリティカルなシステムでより危険度の高い脆弱性については優先度を高くして早急に対処する、などの対策が取りやすくなる。

この指標は、ユーザーからの要望に応じて作成され、8月に米国で開催されたセキュリティカンファレンス「Black Hat 2008」で発表されていた。今後、ユーザーからのフィードバックを元に、指標の改善などを行っていく考えだという。

Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)

MS08-058は、IEに6つの脆弱性が存在し、リモートでコードが実行される、情報漏えいが発生する、といった問題が発生する可能性がある。存在する脆弱性のうち、「ウィンドウロケーションプロパティのクロスドメインの脆弱性」はすでに攻撃コードが公開されており、注意が必要だ。なお、現時点で悪用は確認されていないという。

現在同社がサポートするすべてのバージョンについて、6つの脆弱性の内のいずれかが影響を受ける。最大深刻度は脆弱性やバージョンによって異なるが、全体での深刻度は「緊急」。悪用可能性指標では、「HTMLエレメントのクロスドメインの脆弱性」「イベント処理のクロスドメインの脆弱性」の2つが最も危険な「1」となっている。

Microsoft Excel の脆弱性により、リモートでコードが実行される(956416)

MS08-057は、Microsoft Excelに3つの脆弱性が存在、リモートでコードが実行される危険性がある。いずれもファイルのフォーマットを解析する際の問題で、ファイルを開いた場合に攻撃される可能性がある。

対象となるのはExcel 2000 SP3/2002 SP3/2003 SP2/2003 SP3/2007/2007 SP1、Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office互換機能パック、Office 2004 for Mac/2008 for Mac、Open XML File FormatConverter for Mac。さらにこれに加えSharePoint ServerのExcelファイルを展開する機能にも同じ問題がある。

Excelのバージョンによって影響を受ける脆弱性と深刻度は異なるが、全体での深刻度は「緊急」。指標は「Excel のカレンダー オブジェクトの検証の脆弱性」が「1」となっている。

Active Directory の脆弱性により、リモートでコードが実行される(957280)

MS08-060は、Active Directoryの実装に問題があり、特別な細工をされたLDAPリクエストが受信された際のメモリ割り当てが不正確のためにリモートでコードが実行される危険性がある。対象となるのはWindows 2000 Server SP4のみで、最大深刻度は「緊急」。攻撃コードが不安定になりやすいという理由で指標は「2」となっている。

Host Integration ServerのRPCサービスの脆弱性により、リモートでコードが実行される (956695)

MS08-059は、「Microsoft Host Integration Server」のSNAリモートプロシージャコール(RPC)サービスに脆弱性が存在、特別な細工をされたRPCリクエストを受信することで、認証を回避できてしまい、リモートでコードが実行される。

同サーバーは、以前はSNA Serverと呼ばれていたもので、一部のエンタープライズユーザーで利用されているが、最大深刻度は「緊急」、指標は「1」となっており、利用者は早急に対策する必要がある。

そのほかの脆弱性と最大深刻度に関しては以下の通り。

• Microsoft Office の脆弱性により、情報の漏えいが起こる (957699)(MS08-056):警告
• Windows カーネルの脆弱性により、特権が昇格される(954211)(MS08-061):重要
• Windows インターネット印刷サービスの脆弱性により、リモートでコードが 実行される (953155)(MS08-062):重要
• SMB の脆弱性により、リモートでコードが実行される (957095)(MS08-063):重要
• 仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841)(MS08-064):重要
• メッセージ キューの脆弱性により、リモートでコードが実行される(951071)(MS08-065):重要
• Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803)(MS08-066):重要

サポートライフサイクルの更新

同社の製品の内、8製品が10月15日をもってサポートが終了したため、そのうちの一部の製品については今月のパッチが最後の提供となる。利用者はバージョンアップを検討すべきだろう。

サポートが終了したのは以下の製品。

• Office 2003 SP2
• Project 2003 SP2
• Project Server 2003 SP2a
• Visio 2003 SP2
• Host Integration Server 2004 RTM
• SharePoint Portal Server 2003 SP2
• BizTalk Accelerator For SWIFT 2.1 Service RTM
• Dynamics AX 4.0 SP1

なお、SPの新バージョンが出ている場合は、そのSPをインストールすることでサ ポートは継続される。