マイクロソフトは本日、10月の定期パッチ火曜日の数週間前に、セキュリティ情報MS10-070を定例外で公開しました。この更新プログラムは、サポートされているすべてのバージョンのWindowsにおいて、攻撃者が情報を侵害する可能性があるASP.NETのゼロデイ脆弱性を解決します。
Microsoftのセキュリティ情報では、このゼロデイ脆弱性について詳細に説明されています。「ASP.NETには、暗号化パディング検証時の不適切なエラー処理により、情報漏えいの脆弱性が存在します。この脆弱性を悪用した攻撃者は、サーバーによって暗号化されたビューステートなどのデータを読み取ることができます。また、この脆弱性はデータの改ざんにも利用される可能性があり、悪用された場合、サーバーによって暗号化されたデータの復号化と改ざんに利用される可能性があります。」
Microsoftのスコット・ガスリー氏のブログ投稿では、この脆弱性について詳細な説明がなされています。「この脆弱性の仕組みを理解するには、暗号オラクルについて知っておく必要があります。暗号学におけるオラクルとは、質問に応じてヒントを提供するシステムのことです。今回のケースでは、ASP.NETにパディングオラクルとして機能する脆弱性が存在します。この脆弱性により、攻撃者は暗号文をWebサーバーに送信し、Webサーバーから返されたエラーコードを調べることで、正しく復号されたかどうかを知ることができます。このようなリクエストを多数送信し(そしてどのようなエラーが返されるかを観察することで)、攻撃者は暗号文の残りの部分を解読するのに十分な情報を得ることができます。」
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏はメールで次のようにコメントしています。「マイクロソフトは本日のゼロデイパッチをわずか11日間でリリースしました。これはマイクロソフトのパッチリリース史上最速ではありませんが、1月に記録した7日間という期間にかなり近いものです。1月のアップデートでは、マイクロソフトはエクスプロイトが公開される前からバグを認識していたことが分かっています。そのため、7日間という短い期間というのは必ずしも正確な測定とは言えません。マイクロソフトは本日のバグを既に認識していたのではないかと疑問に思います。しかし、私が考えるより大きな疑問は、この短い期間が品質にどのような影響を与える可能性があるかということです。」
興味深いことに、この更新プログラムは自動更新を通じてすぐに配布されるわけではありません。Microsoft Security Response Center のブログ投稿では、「この更新プログラムは当初 Microsoft ダウンロード センターからのみ提供され、その後数日以内に Windows Update および Windows Server Update Services を通じてリリースされます。これにより、お客様はより広範な配布を待つことなく、今すぐ手動で適用することができます」と説明されています。
nCircleのStorms氏は、「本日のパッチリリースがWindows Updateですぐに利用できないのは少し奇妙です。管理者と一般ユーザーはどちらも手動でパッチをダウンロードし、手動でインストールする必要があります」と述べていますが、Storms氏はさらに、「このバグの主なリスクはIISウェブサイトを運営するネットワーク管理者に発生するため、手動ダウンロードは利便性とパッチをできるだけ早く公開することの間の妥当な妥協策と言えるでしょう」と付け加えています。
