Microsoft、修正パッチの問題と未対応脆弱性が明らかに

この記事のURLhttp://japan.internet.com/webtech/20060626/12.html

先ごろ Microsoft の表計算ソフトウェア『Excel』の未対応脆弱性を突くゼロデイ攻撃が見つかったが、その後立て続けに同ソフトウェアを用いた概念実証コードが公になった問題が2件明らかになっている。また6月の月例更新で公開したセキュリティ情報「MS06-025」の修正プログラムにも問題が見つかった。

幸いなことに、MS06-025 パッチに見つかった問題はそれほど深刻ではない。同パッチはルーティングおよびリモートアクセスサービスの脆弱性を修正するものだが、ダイヤルアップ接続で旧い技術のダイヤルアップ スクリプトを用いる場合、接続できなくなることがあるという。

Microsoft は、この問題に関するサポート技術情報「KB911280」を公開済みだ。同社は MS06-025 パッチの改訂に取り組んでいるが、改訂版をいつ頃リリースするか明記していない。

次に未対応脆弱性の問題だ。まず第1の問題は既にお伝えした通り、Excel に任意コード実行を許しかねない未対応の脆弱性が存在するというものだ。

その後見つかった第2の問題は、ハイパーリンクオブジェクト処理コンポーネント「hlink.dll」に存在する脆弱性だ。米国土安全保障省のコンピュータセキュリティ対策機関 US-CERT が公開した脆弱性情報によれば、細工したハイパーリンクを持つ Excel などの『Office』文書を開き該当のリンクをクリックすると、バッファオーバーフローが発生し、任意コード実行を許しかねないという。同脆弱性の概念実証コードは18日に公になっている。同概念実証コードは Excel を用いているが、hlink.dll 自体は『Windows』の機能要素だ。

そして第3の問題は、Office 文書に埋め込んだ『ActiveX』コントロールに関するものだ。20日に概念実証コードが公になっているが、それは Excel 文書に『Flash』オブジェクトを組み込んだものだった。Microsoft によれば、この問題は脆弱性ではなく、セキュリティ更新を通じて脆弱な ActiveX コントロールの「キルビット」を設定すれば、Office アプリケーションが問題のある ActiveX コントロールを自動実行することはないという。

Excel の未対応脆弱性から数えると、同ソフトウェアを使った概念実証コードやゼロデイ攻撃が公になったのは、これで3件だ。Microsoft のセキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog では、まず16日に Excel の未対応脆弱性に関する情報を掲載し、19日にはセキュリティ勧告を公開した。また同 Blog は20日、hlink.dll の脆弱性について掲載した。そして24日には ActiveX コントロール読み込みに関する問題も含め、これら3件の問題についてまとめた情報を掲載している。

同 Blog の最新投稿によれば、Excel の未対応脆弱性については、遅くとも7月の月例更新 (7月11日) までに修正パッチを用意できる見通しという。また hlink.dll の脆弱性については、修正パッチの試験と対処法の検討を行なっている最中とあるのみで、具体的な対応時期は明記していない。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。