マイクロソフトは3月15日,WindowsとMicrosoft Officeに関するセキュリティ情報を2件公表した。細工が施されたファイルを開くだけで悪質なプログラム(例えばウイルス)を実行させられる危険なセキュリティ・ホールを含む。最大深刻度は最悪の「緊急」および2番目の「重要」。対策は更新プログラム(修正パッチ)を適用すること。「Microsoft Update」などから適用できる。
一般ユーザーにマシンを乗っ取られる
3月10日の予告どおり,今回公開されたセキュリティ情報は2件(関連記事)。Officeに関する情報が1件,Windowsに関する情報が1件だった。
(1)制限の少ない Windows サービスの DACL により特権が昇格される (914798)
(2)Microsoft Office の脆弱性により,リモートでコードが実行される (905413)
(1)は,「特権の昇格」に関するセキュリティ・ホール。セキュリティ・ホールを突かれると,本来は許可していないユーザー権限を与える(権限の昇格を許す)可能性がある。影響を受けるのは,Windows XP SP1およびWindows Server 2003。いずれも,初期出荷版のみが影響を受けるとしている。最大深刻度は「重要」。Windows XP SP2やServer 2003 SP1は影響を受けない。また,Windows XP/Server2003以外のWindowsも影響を受けない。
今回のセキュリティ・ホールは,Windowsにインストールされているいくつかのサービスに,不適切な随意アクセス制御リスト(DACL)が設定されていることが原因。それらのサービスでは,特権の低いユーザーでもそのプロパティを変更できるように設定されている。
このため,それらのサービスを使えば,低い権限しか与えられていないユーザーが,任意のコマンドやプログラムを高いユーザー権限で実行できてしまう。その結果,管理者権限のアカウントを新たに作成するなどして,そのマシンを事実上乗っ取ることが可能となる。
ただし,このセキュリティ・ホールを匿名ユーザーが悪用することはできない。攻撃者は,マシンにログオンする資格を持っている(アカウント/パスワードを知っている)必要がある。また,攻撃を“成功”させるには,正常にログオンした後,影響を受けるサービスのプログラム(コンポーネント)にアクセスする必要がある。
セキュリティ・ホール自体は1月末に第三者により指摘されており,セキュリティ・ホールを突くプログラムもインターネット上で公開されている。このためマイクロソフトでは,セキュリティ・ホールの概要や設定変更による回避策などをセキュリティアドバイザリとして2月9日に公開している(関連記事)。そして今回,詳しい情報を記したセキュリティ情報と,自動的に設定を変更する修正パッチを公開した。
競売にかけられたホールも修正
(2)は,Officeに関するセキュリティ情報。以下の6種類のセキュリティ・ホールが含まれる。
(a)Microsoft Office Excelで,不正な形式の設定を使用してリモート コードが実行される脆弱性 - CVE-2005-4131
(b)Microsoft Office Excel で,不正なファイル フォーマットの解析を使用してリモート コードが実行される脆弱性 - CVE-2006-0028
(c)Microsoft Office Excel で,不正な形式の記述によりリモート コードが実行される脆弱性 - CVE-2006-0029
(d)Microsoft Office Excel で,不正なグラフィックを使用してリモート コードが実行される脆弱性- CVE-2006-0030
(e)Microsoft Office Excel で,不正な形式のレコードを使用してリモート コードが実行される脆弱性 - CVE-2006-0031
(f)Microsoft Office Excel で,不正な形式の回覧先を使用してリモート コードが実行される脆弱性 - CVE-2006-0009
(a)~(e)の5種類のセキュリティ・ホールはExcelだけが影響を受ける。(f)については,Word/Excel/Excel Viewer/Outlook/PowerPointが影響を受ける。Microsoft Office X for MacおよびMicrosoft Office 2004 for Macも影響を受ける。
(a)~(f)のいずれについても,細工が施された文書ファイルを開くだけで,悪質なプログラムを実行させられる恐れがある危険なセキュリティ・ホールである。このため,最大深刻度は「緊急」に設定されている。
これらにうち,(a)と(d)については,第三者により明らかにされていた。セキュリティ・ホールを突くコードもネット上で公開されていた。特に(a)については,セキュリティ・ホールに関する情報がオークション・サイトのeBayで競売にかけられたため話題となり,「Excel Ebayの脆弱性」などとして広く知られていた。ただしいずれについても,マイクロソフトではセキュリティ・ホールが悪用されたという報告は受けていないという。
対策は,同日公開された修正パッチを適用すること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。また,(1)のパッチについては「Windows Update」から,(2)については「Office のアップデート」からも適用可能。加えて,それぞれのセキュリティ情報のページからもパッチをダウンロードできる。
なお,(1)のパッチは設定(DACL)を変更するためのプログラム。通常のパッチとは異なり,システム・ファイルなどには変更を加えない。また,(1)のパッチの適用後,マシンを再起動する必要はない。
(2)のパッチについては,適用後にマシンを再起動する必要がある。Office 2000/XP/2003用のパッチについては,Office 2000 SP3,Office XP SP3,Office 2003 SP1またはSP2が,それぞれ事前に適用されている必要がある。
◎参考資料
◆2006年3月のセキュリティ情報
◆制限の少ない Windows サービスの DACL により特権が昇格される (914798)
◆Microsoft Office の脆弱性により,リモートでコードが実行される (905413)
