WindowsやOfficeに危険なセキュリティ・ホールが多数，パッチの適用を

ITpro

2006.10.11

　マイクロソフトは10月11日，WindowsとMicrosoft Office，.NET Frameworkに関するセキュリティ情報と修正パッチ（セキュリティ更新プログラム）を10件公表した。セキュリティ・ホールの最大深刻度は最悪の「緊急」。既に悪用されているセキュリティ・ホールが含まれるので早急にパッチを適用したい。

10件中6件が「緊急」

　10月6日に予告されたセキュリティ情報は11件だったが，1件の公開が見送られため，本日公開されたセキュリティ情報は10件（関連記事：10月のセキュリティ情報は11件）。内訳は，Windowsに関する情報が5件，Officeに関する情報が4件，.NET Frameworkに関する情報が1件。そのうち，最大深刻度が「緊急」に設定されているのは，以下の6件である。

（1）Windows Explorerの脆弱性により，リモートでコードが実行される (923191) (MS06-057)
（2）Microsoft PowerPoint の脆弱性により，リモートでコードが実行される (924163) (MS06-058)
（3）Microsoft Excelの脆弱性により，リモートでコードが実行される (924164) (MS06-059)
（4）Microsoft Wordの脆弱性により，リモートでコードが実行される (924554) (MS06-060)
（5）Microsoft XML コアサービスの脆弱性により，リモートでコードが実行される (924191) (MS06-061)
（6）Microsoft Office の脆弱性により，リモートでコードが実行される (922581) (MS06-062)

　（1）は，Windowsに含まれるActiveXコントロール「WebViewFolderIcon（webvw.dll）」に関するセキュリティ・ホールである。Windows 2000／XP／Server 2003が影響を受ける。細工が施されたWebページ／HTMLメールを開くだけで，悪質なプログラムを実行される危険なもの。Windows 2000およびXPでは，深刻度は「緊急」に設定されている。Windows Server 2003については，デフォルトでは「セキュリティ強化の構成」により影響が緩和されるので，深刻度は上から3番目（下から2番目）の「警告」に設定されている。

　このセキュリティ・ホール自体は，7月に第三者によって公表されている。ただしその時点では，Internet Explorer（IE）などを不正終了させるコード（プログラム）しか公開されていなかったため，悪用される危険性が低いと考えられていた。

　しかし9月になると，このセキュリティ・ホールを突いて任意のプログラムを実行させるコードが公表されたため危険性が高まった（関連記事：パッチ未公開セキュリティ・ホールを突くプログラム出現）。現在では，このセキュリティ・ホールを悪用するサイトも確認されている（関連記事：Windowsの新しい脆弱性を狙う攻撃サイト続出）。

　そのためマイクロソフトでは，9月29日に回避策などをまとめたセキュリティアドバイザリを公開（関連記事：パッチ未公開セキュリティ・ホールの回避策を公開）。同社はこのアドバイザリにおいて，同セキュリティ・ホールをふさぐ修正パッチを10月11日に公開するとしていた。そして今回，予定通りに公開した。

　（2）の「Microsoft PowerPoint の脆弱性により，リモートでコードが実行される (924163) (MS06-058)」には，PowerPointに関するセキュリティ・ホールが4件含まれる。PowerPoint 2000（Office 2000），PowerPoint 2002（Office XP），PowerPoint 2003（Office 2003），PowerPoint 2004 for Mac，PowerPoint v. X for Mac---が影響を受ける。PowerPoint 2003 Viewerは影響を受けない。

　これらのセキュリティ・ホールは，読み込むデータをPowerPointがきちんと検証しないことなどが原因。このため細工が施された文書ファイル（pptファイル）を読み込むだけで，ファイルに仕込まれた任意のプログラムを実行される恐れがある。

　（2）に含まれる「PowerPoint の不正な形式のレコードの脆弱性- CVE-2006-4694」については，このセキュリティ・ホールを突いて悪質なプログラムを実行させるファイル（ゼロデイ攻撃）が確認されている（関連記事：またもやPowerPointにセキュリティ・ホール）。

　このためマイクロソフトでは9月28日，このセキュリティ・ホールに関する概要と回避策を公表。セキュリティ・ベンダーなどの情報によれば，このセキュリティ・ホールを突いたゼロデイ攻撃は，特定の企業／組織を狙った「スピア攻撃」だった可能性があるという（関連記事：PowerPointを狙ったゼロデイ攻撃は「スピア攻撃」）。