2011年1月7日
新しい年が明けて、既に最も人気のあるOS、WindowsとOS Xでセキュリティ脆弱性が発表された。まず、もっとも心配なWindowsの脆弱性から説明しよう。
マイクロソフトの最新の事前通知によると、多くのWindowsバージョンにバンドルされて出荷されたGraphics Rendering Engine(スクリーンのディスプレイグラフィックをサポートするコンポーネントの一つ)にゼロデイ脆弱性が発見された。具体的には、Graphics Renderingエンジンで、特別に作成されたサムネイルイメージをどう処理するかの欠点によって、バッファオーバーフローになる可能性がある。攻撃者は、ウェブサイトまたはメール送信されたサムネイルイメージをプレビューするように誘導することによって、この脆弱性を悪用し、ユーザのPCでコードをユーザ権限で実行することができる。もしそのユーザ権限がローカル管理者権限だった場合、完全にPCを乗っ取ることも可能となる。
マイクロソフトは、この脆弱性に対応するパッチをまだ提供できていないが、この攻撃を最低限に抑えられる対処法を発表している。詳細に関しては、事前アドバイザリー内の「Mitigating Factors and Suggested Actions」を参照してほしい。残念なことに、マイクロソフトは、実際の現場で攻撃者がこの脆弱性を悪用しているかどうかは、明確にしていない。パッチデイは来週だが、それまでにマイクロソフトがパッチを準備できるとは思えないので、サムネイルイメージの対応には注意するよう警告したい。
Appleは、昨日、OS X 10.6.x(Snow Leopard)のセキュリティ・アップデートを発表した。このアップデートは、1件の脆弱性のみを修正しているようだ。Appleのアラートは、欠点について、あまり技術的な詳細内容を説明していない。PackageKitのフォーマットストリング欠陥によって、攻撃者がユーザのMac上でコードを実行できる、とだけ説明している。この脆弱性を悪用するために、攻撃者はAppleのSoftware Update経由で不正パッケージを送信する必要があり、Man-in-the-Middle攻撃によって、Software Updateがパッケージを受信するサイトをコントロールすることが前提になる。つまり、攻撃者は、ネットワークへのローカルアクセスがないと、この脆弱性を悪用することが難しいということになる。しかし、Snow Leopardユーザは、10.6.6アップデートをダウンロードするか、Software Updateを利用して、行うべきである。
まとめとして、Windowsユーザは、サムネイルに注意して、来週火曜日のアップデートを読むべき。そして、Snow Leopardユーザは、至急アップグレードするべきだ。
Corey Nachreiner, CISSP
【原文】
Windows zero day and small Snow Leopard update start off the new year
http://watchguardsecuritycenter.com/2011/01/07/windows-zero-day-and-small-snow-leopard-update-start-off-the-new-year/
