マイクロソフト、IEの新たな脆弱性に対しパッチを緊急公開へ
IEのセキュリティ機構「Kill Bit」を回避する攻撃手段を研究者が発見7月28日(米国時間)、米国MicrosoftがWindowsの緊急パッチを公開する見込みだ。セキュリティ専門家が、Internet Explorer(IE)ブラウザの重要なセキュリティ・メカニズムを回避する方法を発見したためだ。
セキュリティ専門家のマーク・ダウド(Mark Dowd)氏、ライアン・スミス(Ryan Smith)氏、デビッド・デューイ(David Dewey)氏の3氏は、ラスベガスで開催中のセキュリティ・コンファレンス「Black Hat USA 2009」(7月25日〜30日)で7月29日に講演を行い、IEが備えるセキュリティ機構「Kill Bit(キルビット)」を回避する方法を公表する予定だ。なお、スミス氏は独立系セキュリティ研究者で、ダウド氏とデューイ氏はIBMの社員。
Kill Bitは、実行が許可されていない不正なActiveXコントロールをチェックし、IEのHTMLレンダリング・エンジンがそれを読み込まないようにするためのセキュリティ機構だ。Webで公開されているビデオ・プレゼンテーションでは、専門家3氏がこの機構を回避して、不正なActiveXコントロールを実行する様子が示されている。さらに3氏は、不正なActiveXコントロール経由で、実行権限のない任意のプログラムを実行することにも成功している。
3氏は技術的な詳細を明らかにしていないが、Kill Bit機構が回避できるとなると、大きなセキュリティ問題に発展しかねない。Kill Bitによって危険性が緩和されていると考えられてきた不正なActiveXコントロールを、攻撃者が悪用できるようになるからだ。
米国Shavlik TechnologiesのCTO(最高技術責任者)、エリック・シュルツ(Eric Schultze)氏は、「不正なActiveXコントロールを読み込ませるサイトにユーザーを誘導し、好き放題に攻撃されるおそれがあるので大変危険だ。たとえ最新のセキュリティ・パッチを当てていたとしても危険である」と語った。
Kill Bitは、不正なActiveXコントロールを使った攻撃からIEを保護するための手っ取り早い手段として提供されている。Windowsレジストリは、個々のActiveXコントロールに対して固有のID(GUID:グローバル一意識別子)を割り当てるようになっている。Kill Bitの設定で特定のGUIDをレジストリ内の“ブラックリスト”に登録すれば、そのGUIDが割り当てられたActiveXコンポーネントの実行を禁止できる。
今回の事態を受け、Microsoftは7月28日(米国時間)に修正パッチを緊急公開するもようだ。同社が月例のパッチ公開以外にこうした緊急パッチ公開を行うのは、通常、脆弱性を悪用した攻撃が実際に発生している場合に限られる。だが今回の場合、脆弱性の詳細はまだ伏せられており、Microsoftもこの脆弱性は攻撃に使われていないと述べている。「(Microsoftは)この脆弱性が非常に危険なものであると判断したに違いない」(シュルツ氏)。
Microsoftは先週24日の午後、パッチの緊急公開に関する簡単な発表を行った。それによれば、28日午前10時(米国太平洋時間)に、IEおよび、今回の問題に関係するVisual Studioのセキュリティ・パッチを公開するとしている。深刻度は、前者が「緊急(Critical)」、後者が「警告(Moderate)」だ。
だが、今回3氏が発見したKill Bitの脆弱性は、幅広く使用されているWindowsコンポーネント「Active Template Library(ATL)」に原因がある可能性もある。セキュリティ専門家のハルバー・フレーク(Halvar Flake)氏によると、ATLの欠陥は、Microsoftが今月発見したActiveXのバグに起因するものでもあるという。Microsoftは6月14日、このバグを修正するパッチを公開しているが、フレーク氏は調査の結果、このパッチでは潜在的な問題は修正されていないという結論に達したという。
情報筋の話によると、29日にBlack Hatで講演を行うスミス氏は、Kill Bitが回避可能であるという脆弱性を1年以上前にMicrosoftに報告していた。
Microsoftの広報担当者は、今回のKill Bitパッチが無効化するActiveXコントロールの数を明らかにせず、「28日のパッチ公開までは追加情報を公表しない」と述べた。だが、Shavlikのシュルツ氏は、該当するActiveXコントロールはかなり多いため、28日に公開されるパッチはできるだけ早く適用すべきだと語った。「今回のパッチを適用しなければ、過去30件のセキュリティ・パッチをアンインストールするのと同じ(くらい危険な)状態になってしまう」(シュルツ氏)。
スミス氏のコメントは得られていない。また、同氏とともに講演を行うダウド氏とデューイ氏の勤務先であるIBMの広報担当者は、この講演の内容が、Microsoftが28日に公開するパッチに関連するものであることを認めた。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
