新年あけましておめでとうございます!Microsoftの2011年最初のパッチ火曜日は、本日から1週間後の1月11日に予定されていますが、新年を迎えるには今がチャンスです。Microsoftは、一部のWindowsバージョンのグラフィックレンダリングエンジンに存在する脆弱性に関するセキュリティアドバイザリを公開しました。この脆弱性が悪用されると、脆弱なシステムが侵害される可能性があります。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、専門家としての見解をメールで発表した。「マイクロソフトは既にIEのゼロデイ脆弱性、Secuniaが警告を発したWMIアクティブXコントロールのバグ、そして『cross_fuzz』に関するさらに重大な問題を抱えており、本日、新たな画像処理のゼロデイ脆弱性も発見されました。2011年に入ってまだ3日目ですが、マイクロソフトのセキュリティ動向は芳しくありません。」
この脆弱性は、Windows XP、Windows Vista、Windows Server 2003、およびWindows Server 2008のWindowsグラフィックレンダリングエンジンに影響を及ぼします。Microsoftのセキュリティアドバイザリによると、「攻撃者がこの脆弱性を悪用した場合、ログオンユーザーのセキュリティコンテキストで任意のコードが実行される可能性があります。その後、攻撃者はプログラムをインストールしたり、データを表示、変更、削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりする可能性があります。」
Invinceaの創設者兼チーフサイエンティストであるAnup Ghosh氏は、この問題についてさらに詳しく説明しています。「Windowsのグラフィックレンダリングエンジンに新たな脆弱性が発見されたようです。この脆弱性は、不正な.WMF画像ファイルを介して悪用される可能性があります。ユーザーの介入をほとんど必要とせず(つまり、画像を表示するだけで)、ルートキットやトロイの木馬のインストールを含む任意のコードを実行できるため、深刻な問題を引き起こす可能性があります。」
明るい兆しが2つあります。まず、現行のオペレーティングシステムリリース(Windows 7およびWindows Server 2008 R2)は、この脆弱性の影響を受けません。次に、脆弱性が存在するWindowsのバージョンであっても、この脆弱性を悪用した攻撃はまだ報告されていません。
とはいえ、この脆弱性は依然として存在し、公になったことで、攻撃が開発される危険性は大幅に高まっています。しかし、マイクロソフトはセキュリティアドバイザリに記載されている緩和要因の中で、この脆弱性が電子メール経由で自動的に悪用されることはないと指摘し、「攻撃が成功するには、ユーザーが電子メールで送信された添付ファイルを開く必要がある」と述べています。
ストームズ氏も同意見で、「このエクスプロイトによる攻撃シナリオとして最も可能性が高いのは、不正な画像を含むメールの添付ファイル、おそらくOffice文書です。添付ファイルを開くと、ユーザーはエクスプロイト攻撃を受ける可能性があります」と説明しています。
実際のパッチや修正プログラムが公開されるまでの一時的な回避策として、Microsoftはshimgvw.dllファイルのアクセス制御リスト(ACL)を変更することを推奨しています。セキュリティアドバイザリには、影響を受けるWindowsの各バージョンにおける変更方法が詳細に説明されています。ただし、ACLを変更すると、通常はグラフィックレンダリングエンジンによって処理されるファイルが正しく表示されなくなることに注意してください。つまり、脆弱性の悪用を防ぐことはできますが、Windowsシステムの機能を犠牲にする必要があります。
マイクロソフトは現在この問題を調査しており、対応が迅速であることを考えると、1月の月例パッチリリースではこの脆弱性に対するパッチやアップデートが提供される可能性は低いでしょう。この脆弱性が自動攻撃に利用されたり、実環境でシステムへの侵入に積極的に利用され始めたりした場合、マイクロソフトは2月8日に予定されている2月の月例パッチリリース前に、アウトオブバンドパッチを急いでリリースする可能性があります。
