iDefense Labsは、Macrovisionのインストーラ・ソフトウェア「InstallShield」に任意のコードが実行可能となる脆弱性が存在することを報告した。

・iDefense Labs（Macrovision InstallShield Update Service ActiveX Unsafe
Method Vulnerability）：
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=618

　脆弱性は、InstallShieldのオプション機能である自動更新サービス（Update Service）とFLEXnet Connectに存在する。自動更新サービスはActiveXコントロールで作成されおり、ベンダからアプリケーションの修正プログラムなどが提供された場合、ユーザーに修正プログラムの存在を知らせたり、自動的にインストールしたりする機能を提供する。攻撃者は、このActiveXコントロールを操作することで、自動的にファイルをダウンロードさせたり、任意のコードを実行させたりすることができる。

　iDefense Labsによれば、InstallShield 2008とFlexNet SDKに含まれるVersion 5.01.100.47363とVersion 6.0.100.60146のisusweb.dllに脆弱性が存在することを確認しているということだ。InstallShieldはアプリケーションのインストーラとして広く利用されており、そうしたアプリケーションと一緒にisusweb.dllも配布されている。ユーザーの知らない間に、isusweb.dllがインストールされている可能性も高い。

　すでにMacrovisionは、この脆弱性を解消する修正プログラムを提供している。自動更新サービスを利用したアプリケーションを提供しているベンダには、顧客に対して配布可能な修正プログラムが提供されている。また脆弱性を解消した再配布版も提供されているので、配布パッケージを更新するとよい。

・Macrovision（Important FLEXnet Connect Vulnerability Patch）：
http://www.macrovision.com/promolanding/7660.htm

　なお、上記のバージョンのisusweb.dllがコンピュータに存在する場合は、アプリケーション・ベンダに修正プログラムの有無を確認した方がよい。修正プログラムが提供されるまでの間は、ActiveXコントロール（isusweb.dll）のCLSIDに対してkillbitを設定することで回避可能だ。killbitを設定する方法は、「セキュリティTIPS：Internet ExplorerでActiveXコントロールの実行を個別に禁止する方法」を参照してほしい。

・セキュリティTIPS（Internet ExplorerでActiveXコントロールの実行を個別に禁止する方法）：
http://www.hotfix.jp/archives/tips/2005/tips05-04.html

HotFix Report BBS関連スレッド：
・InstallShieldの更新サービスにコード実行の脆弱性、修正プログラムあり
http://bbs.hotfix.jp/ShowPost.aspx?PostID=7332

　マイクロソフトは、Windows XP／Windows Server 2003に同梱されているMacrovision製SECDRV.SYSドライバに特権の昇格が起きる脆弱性が存在することをセキュリティ・アドバイザリで明らかにした。

・セキュリティ・アドバイザリ 944653（Windows 上の Macrovision SECDRV.SYS ドライバの脆弱性により、特権の昇格が行われる）：
http://www.microsoft.com/japan/technet/security/advisory/944653.mspx

　この脆弱性は、10月16日の時点で実証コードが公開されていることをSymantecのSecurity Response Weblogが明らかにしている。Macrovision製SECDRV.SYSドライバとは、Windows XP／Windows Server 2003に標準で同梱されていて、DRM（Digital Rights Management：デジタル著作権管理）アプリケーションから利用される。このドライバにデータ入力を十分に検証しないことに起因するメモリ破損の脆弱性が存在し、特権の昇格を起こしてしまう。

・Symantec Security Response Weblog（Privilege Escalation Exploit In the Wild）：
http://www.symantec.com/enterprise/security_response/
weblog/2007/10/privilege_escalation_exploit_i.html

　攻撃を成立させるには、ローカルで細工されたプログラムを実行する必要がある。ウイルスやトロイの木馬などが、特権を昇格するためにこの脆弱性を悪用することが懸念される。

　すでにMacrovisionから脆弱性を解消した英語版のSECDRV.SYSが提供されているが、日本語版への適用の可否については明らかにされていない。またセキュリティ・アドバイザリによれば、現在、マイクロソフトにおいてWindows XP SP2、Windows Server 2003 SP1／R2／SP2に対する修正プログラムを開発中であり、月例の修正プログラムとして提供を行う予定であるとしている。

　修正プログラムが提供されるまでは、不審なファイルは開かないなど、運用で回避する必要がある。

脆弱性識別番号：
・CVE-2007-5587
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5587

HotFix Report BBS関連スレッド：
・Macrovisionのセキュリティ・ドライバに特権昇格の脆弱性、修正プログラムあり？
http://bbs.hotfix.jp/ShowPost.aspx?PostID=7333

　Hong Gil-Dong氏とJeon Woo-chi氏は、MS07-055の脆弱性を検証するための実証コードを公開した。MS07-055の脆弱性は、Kodak Image Viewerにおいて画像ファイルを解析する過程に脆弱性が存在し、細工された画像ファイルをKodak Image Viewerのライブラリを用いたアプリケーションで表示すると、任意のコードが実行される危険性があるというもの。

・milw0rm（MS07-055 Kodak Image Viewer TIF/TIFF Code Execution Proof Of Concept）：
http://www.milw0rm.com/exploits/4584

　公開された実証コードは、Kodak Image Viewerの脆弱性を悪用するように細工したTIFFファイル（ms07-055.tif）を作成するものである。ms07-055.tifをKodak Image Viewerで開くと、ユーザーの操作なしに電卓（calc.exe）が実行される。

・HotFix Alert MS07-055（Kodak Image Viewerのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2007/ms07-055.html

・TechNetセキュリティ情報 MS07-055（Kodak Image Viewer の脆弱性により、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/bulletin/ms07-055.mspx

　実証コードに含まれるコメントによると、韓国語版のWindows 2000 SP4で動作を確認しているが、ほかの環境でも若干の変更で任意のコードを実行可能にできるとしている。

　この実証コードを悪用した攻撃が開始される危険性が高まっている。MS07-055の修正プログラムが未適用の場合は、至急、適用した方がよい。

HotFix Report BBS関連スレッド：
・PoCが公開（Re: MS07-055［緊急］：Kodak Image Viewer……）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=7324#7324