マイクロソフトは11月8日,Windowsに関するセキュリティ情報を1件公表した。細工が施された画像を含むWebページやファイルを開くだけで,悪質なプログラム(例えばウイルス)を実行させられるような危険なセキュリティ・ホールが含まれる。最大深刻度は最悪の「緊急」。対策は更新プログラム(修正パッチ)の適用。「Microsoft Update」などから適用できる。影響を受けるのはWindows 2000/XP/Server 2003。Windows 98/98 SE/Meは影響を受けない。
今回公開されたセキュリティ情報は「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」。当初の予定どおり,公開されたのはこの1件だけ(関連記事)。このセキュリティ情報には以下の3種類のセキュリティ・ホールが含まれる。
(1)Graphics Rendering Engine の脆弱性(CAN-2005-2123)
(2)Windows メタファイルの脆弱性(CAN-2005-2124)
(3)拡張メタファイルの脆弱性(CAN-2005-0803)
(1)は,Windowsに含まれる画像処理ライブラリ「Graphical Device Interface(GDI)」のセキュリティ・ホール。GDIの実体である「GDI32.DLL」中の,Windows メタファイル(WMF)および拡張メタファイル(EMF)をレンダリングするコードに未チェックのバッファが含まれる。
このため,細工が施されたWMFあるいはEMF画像ファイルをWindows上で動作するアプリケーションで読み込むと,バッファ・オーバーフロー(ヒープ・オーバーフロー)が発生する。その結果,ファイルに含まれる任意のプログラムを実行させられる可能性がある。
細工が施された画像ファイルを明示的に開かなくても,そのファイルが貼りこまれたWebページやHTMLメール,Office文書ファイルなどを開く(あるいはプレビューする)だけで被害に遭う恐れがある。
(1)の深刻度は,Windows 2000/XP/Server 2003(XP SP2やServer 2003 SP1を含む)のいずれでも「緊急」。
(2)は,Windows メタファイル(WMF)を処理するコードに見つかったセキュリティ・ホール。(1)とは異なるセキュリティ・ホールであるが,影響は(1)と似ている。WMFを処理するコードには(1)とは異なる未チェックのバッファが含まれる。このため細工が施された画像ファイルを読み込むと,攻撃者の意図したプログラムを実行させられる。
(2)の深刻度はWindows 2000/XP/Server 2003が「緊急」。ただし,XP SP2とServer 2003 SP1は影響を受けない。
(3)も,(1)および(2)同様,メタファイルの処理に関するセキュリティ・ホール。拡張メタファイル(EMF)をレンダリングするコードには,(1)とは異なる未チェックのバッファが存在する。細工が施されたEMFファイルをIEやOutlook Express,Officeなどで読み込むと,バッファ・オーバーフローが発生する。ここまでは(1)や(2)と同じだが,(3)の場合には任意のプログラムを実行する恐れはないという。マシンが応答しなくなるだけである。
このため(3)については,Windows 2000/XP/Server 2003の深刻度が下から2番目(上から3番目)の「警告」。XP SP2とServer 2003 SP1は影響を受けない。
対策は修正パッチを提供すること。Microsoft Updateや「Windows Update」などから適用できる。これらの自動更新機能を有効にしている環境では,自動的に適用される。また,セキュリティ情報のページからもパッチをダウンロードできる。
なお,パッチ適用後には,マシンの再起動を必要とする。パッチが適用されているかどうかは,同社が公開しているツール「Microsoft Baseline Security Analyzer(MBSA)」を使用して検出できる。
同日,ウイルスなどを検出および駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版もMicrosoft UpdateおよびWindows Updateにおいて公開した(関連記事)。新版では,「Cobot」や「Mabutu」などに対応した。対象OSは,Windows 2000/XP/Server 2003。ダウンロードセンターやMicrosoft Updateから入手できる。Windows XPとServer 2003 SP1についてはWindows Updateからも適用可能。
◎参考資料
◆2005年11月のセキュリティ情報
◆Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)
