標準ではインストールされないWindowsのツールに、相次いで未修整の脆弱性が見つかった。いずれもリモートからの攻撃が可能で、インストールしている場合には、クラッシュしたりコード実行につながるおそれがある。
■WMI Object Viewer
今月22日、ActiveXコントロール「WMI Object Viewer」(ファイル名:WBEMSingleView.ocx)の未修整の脆弱性を突いて、電卓を起動する実証コードがネット上で公開され、セキュリティベンダーや機関が注意を呼び掛けている。
ActiveXコントロールは、アプリケーションから呼び出して使用するプログラムの部品で、細工したWebサイトに誘導すれば、Internet Explorer経由で呼び出し脆弱性攻撃を仕掛けることができる。ただし、このActiveXコントロールは、マイクロソフトが無料で配布している管理ツール「WMI(Windows Management Instrumentation) Administrative Tools」に含まれているのもので、同社のダウンロードセンターからユーザー自身が直接ダウンロード/インストールした場合にのみ、システム内に存在する。一般のユーザーが利用するツールではないので、インストールされている方は少ないだろう。
インストールされている場合の回避策は、ActiveXコントロールを無効化すること。IEの[インターネットオプション]→[セキュリティ]で、インターネットゾーンとローカルイントラネットゾーンのセキュリティ設定を「高」にすると、これらゾーンでの全てのActiveXコントロールが無効になり、脆弱性攻撃を受けなくなる。US-CERTのアドバイザリでは、問題のある「WMI Object Viewer」のみを無効化する、kill bitの設定方法も公開されている。
【関連URL】
・Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性(JVN)
http://jvn.jp/cert/JVNVU725596/
・VU#725596:Microsoft WMI Administrative Tools WBEMSingleView.ocx ActiveX control vulnerability[英文](US-CERT)
http://www.kb.cert.org/vuls/id/725596
・Microsoft WMI Administrative Tools WMI Object Viewer ActiveX Control Vulnerabilities[英文](Secunia)
http://secunia.com/advisories/42693
■FAX送付状エディタ
Windowsに付属する「FAX送付状エディタ」に未修整の脆弱性が見つかり、今月27日に実証コードが公開された。デンマークのセキュリティベンダーSecuniaが同日、アドバイザリを公開して注意を呼び掛けた。
「FAX送付状エディタ」(ファイル名:fxscover.exe)は、Windows XP/Visa/7に標準で付属するツールだが、標準のセットアップではインストールされず、「FAXサービス」をインストールした場合にのみ利用できるようになる。モデム付きパソコンの中には、あらかじめインストール済みで出荷されている機種があるかも知れないので、念のため確認していただきたい。
「FAX送付状エディタ」自体は単独のアプリケーションだが、使用する送付状ファイル(拡張子「.cov」)に関連付けられているため、細工した送付状ファイルを仕掛けたWebサイトやメールの添付ファイル経由で攻撃を仕掛けられるおそれがある。
インストールされている場合の回避策は、信頼できるファイル以外は開かないこと。WindowsのFAXサービスを使用していないのなら、アンインストールしておけばよい。
【関連URL】
・Microsoft Windows Fax Cover Page Editor Buffer Overflow Vulnerability[英文](Secunia)
http://secunia.com/advisories/42747/
(2010/12/29 ネットセキュリティニュース)