Microsoft、修正パッチの問題と未対応脆弱性が明らかに

この記事のURLhttp://japan.internet.com/webtech/20060626/12.html

先ごろ Microsoft の表計算ソフトウェア『Excel』の未対応脆弱性を突くゼロデイ攻撃が見つかったが、その後立て続けに同ソフトウェアを用いた概念実証コードが公になった問題が2件明らかになっている。また6月の月例更新で公開したセキュリティ情報「MS06-025」の修正プログラムにも問題が見つかった。

幸いなことに、MS06-025 パッチに見つかった問題はそれほど深刻ではない。同パッチはルーティングおよびリモートアクセスサービスの脆弱性を修正するものだが、ダイヤルアップ接続で旧い技術のダイヤルアップ スクリプトを用いる場合、接続できなくなることがあるという。

Microsoft は、この問題に関するサポート技術情報「KB911280」を公開済みだ。同社は MS06-025 パッチの改訂に取り組んでいるが、改訂版をいつ頃リリースするか明記していない。

次に未対応脆弱性の問題だ。まず第1の問題は既にお伝えした通り、Excel に任意コード実行を許しかねない未対応の脆弱性が存在するというものだ。

その後見つかった第2の問題は、ハイパーリンクオブジェクト処理コンポーネント「hlink.dll」に存在する脆弱性だ。米国土安全保障省のコンピュータセキュリティ対策機関 US-CERT が公開した脆弱性情報によれば、細工したハイパーリンクを持つ Excel などの『Office』文書を開き該当のリンクをクリックすると、バッファオーバーフローが発生し、任意コード実行を許しかねないという。同脆弱性の概念実証コードは18日に公になっている。同概念実証コードは Excel を用いているが、hlink.dll 自体は『Windows』の機能要素だ。

そして第3の問題は、Office 文書に埋め込んだ『ActiveX』コントロールに関するものだ。20日に概念実証コードが公になっているが、それは Excel 文書に『Flash』オブジェクトを組み込んだものだった。Microsoft によれば、この問題は脆弱性ではなく、セキュリティ更新を通じて脆弱な ActiveX コントロールの「キルビット」を設定すれば、Office アプリケーションが問題のある ActiveX コントロールを自動実行することはないという。

Excel の未対応脆弱性から数えると、同ソフトウェアを使った概念実証コードやゼロデイ攻撃が公になったのは、これで3件だ。Microsoft のセキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog では、まず16日に Excel の未対応脆弱性に関する情報を掲載し、19日にはセキュリティ勧告を公開した。また同 Blog は20日、hlink.dll の脆弱性について掲載した。そして24日には ActiveX コントロール読み込みに関する問題も含め、これら3件の問題についてまとめた情報を掲載している。

同 Blog の最新投稿によれば、Excel の未対応脆弱性については、遅くとも7月の月例更新 (7月11日) までに修正パッチを用意できる見通しという。また hlink.dll の脆弱性については、修正パッチの試験と対処法の検討を行なっている最中とあるのみで、具体的な対応時期は明記していない。