MS、12月の月例更新で悪用方法が公になっていた脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20051214/11.html

Microsoft は13日、12月の月例更新を発表した。公開した個別セキュリティ情報は予定通り、深刻度が「緊急」のものと「重要」のもの合わせて2件だった。

まず1つ目のセキュリティ情報「MS05-054」だが、これは Web ブラウザ『Internet Explorer』(IE) の累積更新で、10月に公開した「MS05-052」に置き換わるものだ。

MS05-054 で新たに対応した個々の脆弱性を見ると、比較的深刻度の低い「警告」レベルの脆弱性2件と、深刻度が最も高い「緊急」レベルの脆弱性2件だ。深刻度が高かったものは、IE で利用することを意図していなかった COM オブジェクトを、IE でインスタンス化する際に起きる問題と、不適切な DOM オブジェクト処理問題で、いずれも遠隔コード実行を許しかねない。両脆弱性の深刻度は、『Windows Server 2003』および『同 SP1』の IE 6 の場合のみ4段階中下から2番目の「警告」だが、ほかの環境については全て4段階中最大の「緊急」となっている。

後者の不適切な DOM オブジェクト処理問題は、月例更新の先行情報発表の際にお伝えした通り、かねてより悪用方法の概念実証コードが出回っていた脆弱性だ。

同じく MS05-054 で対応した脆弱性の内、比較的深刻度が低いのは、ファイルのダウンロードダイアログ操作の問題と、HTTPS プロキシを利用する際の問題で、最大深刻度は「警告」となっている。

次に、2つ目のセキュリティ情報「MS05-055」は、Windows カーネルに存在する権限昇格の脆弱性に対応したものだ。ただし Microsoft によると、攻撃者が同脆弱性を悪用するには、有効なアカウントを持っており、なおかつローカルでログインする必要があるため、遠隔的な攻撃には利用できないという。対象システムは『Windows 2000 SP4』で、前述の通り深刻度は上から2番目の「重要」だ。

この脆弱性は対象システムの非同期プロシジャコール (APC) に関する問題で、セキュリティ技術会社 eEye Digital Security が5月に発見して報告していたものだ。同社によると、この脆弱性自体は Microsoft の深刻度評価において「重要」レベルだとしても、Eメールワームやウイルスなどと組み合わせて悪用することにより、遠隔的に同脆弱性を突く図式が成立するため、深刻度は Microsoft 基準でいうところの「緊急」に跳ね上がるという。