Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

8月のマイクロソフトセキュリティ更新を確認する


8月のMSセキュリティ情報

 マイクロソフトが、月例のセキュリティ更新プログラムとセキュリティ情報提供を8月10日未明に公開した。

 マイクロソフトはセキュリティ問題の深刻度を4段階にレベル分けしているが、今回のセキュリティ更新では、「緊急」に分類される脆弱性情報が3つ、「重要」が1つ、「警告」が2つ報告され、セキュリティ更新が利用できるようになった。

 深刻度の高い「緊急」の問題のうち2件はWindowsのサービスに関するもので、1件はInternet Explorerに関するものとなっている。Internet Explorerの脆弱性については、今回の修正パッチ公開前に脆弱性情報がインターネット上で公開されてしまった。また、この脆弱性は、「JPEG画像を問題の画像を表示させるだけで、システムを乗っ取れる可能性がある」危険なセキュリティホールでもある。このコードを悪用した画像が作られ、Webサイトなどに埋め込まれた場合は、多くのユーザーに影響が出る可能性があり、悪用される可能性も高いと思われる。できるだけ早く更新プログラムを適用したい。

 今回、新しく公開された脆弱性情報は、以下の6つだ。

(1)「MS05-038」Internet Explorer 用の累積的なセキュリティ更新プログラム
(2)「MS05-039」プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる
(3)「MS05-040」テレフォニー サービスの脆弱性により、リモートでコードが実行される
(4)「MS05-041」リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる
(5)「MS05-042」Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる
(6)「MS05-043」印刷スプーラの脆弱性により、リモートでコードが実行される

(1)、(2)、(6)が深刻度が緊急の問題、(3)が重要、(4)、(5)が警告に相当する問題だ。やはり気になるのは、「緊急」とされた脆弱性だ。以下で内容を確認しておこう。


【MS05-038】Internet Explorer 用の累積的なセキュリティ更新プログラム(896727)

 今回、一番気になる脆弱性は、このセキュリティ更新プログラムに含まれるものだろう。この更新プログラムは、以下の脆弱性を修正する。

・JPEG イメージ レンダリングのメモリ破損の脆弱性
・Web フォルダの動作のクロス ドメインの脆弱性
・COM オブジェクトのインスタンス化のメモリ破損の脆弱性

 このうち、重要視しなくてはならない問題は「JPEG イメージ レンダリングのメモリ破損の脆弱性」とされているものだ。

 この脆弱性は、7月半ばに、脆弱性情報が持ち寄られるメーリングリスト「BugTraq」などに投稿された。投稿されたメールには、4点のデモ用画像のURLが貼られており、そのうち2点では、このリンクをたどってInternet Explorer 6.0 SP2でアクセスすると、Internet Explorerが不正終了することが確認されていた。

 メーリングリストでは「システムを実際に乗っ取ることができるかどうかは不明」とされていたが、想像できる原理から考えると、この問題はInternet ExplorerでJPEG画像を表示させるだけでシステムを乗っ取ることができる可能性があるのではないかとの指摘もあった。

 なお、メーリングリストに投稿されたメールでは、この実験はわずか30分の実験で見つけたもので、「Internet Explorerの内包するさまざまな問題の可能性」を指摘する、とされていた。つまり、詳しく調べれば多くの問題が出てくるだろうことを示唆していたが、この短期間でマイクロソフトが“多くの問題”に対応できたかについて、不安が残るとする声もあるようだ。

 いずれにしても、0-day exploitとして、セキュリティパッチが提供される前に悪用し得るコードと原理が公開されていた問題なので、この修正パッチは大至急適用し、悪用コードが出回った場合に備えるべきだろう。

 また、このセキュリティ更新プログラムには、6月に公開されたInternet Explorer用の累積的なセキュリティ更新プログラム「MS05-025」(883939)を置き換えるという目的もある。

 「MS-05-025」については、適用するとフレームを使ったWebページ内のリンクから、WebDAVフォルダへのリンクを利用した場合に、「HTTP 405 - リソース使用不可」というエラーが表示されてしまうという問題が報告されていた。今回のセキュリティ更新プログラムで、「MS05-025」のセキュリティ更新プログラムと同様のセキュリティ確保を行ないながら、問題点を解決することになったわけだ。

 また、このセキュリティ更新では、JView プロファイラの脆弱性によりリモートでコードが実行されるという、「MS05-037」に関連したセキュリティ更新も行なわれる。

 「MS05-037」は、不正なObjectタグを含むコンテンツがInternet Explorerによって読み込まれ、JViewプロファイラのインスタンスが作成される際に、メモリ中に不正なデータを書き出した後で異常終了することがあるというもの。技術レベルが低くても、たやすく悪用できる脆弱性だ。

 7月の「MS05-037」公開時は、おもに「javaprxy.dll」というDLLに関しての対策が施された。今回は、中国のNSFocusなどから「shell32.dll」「mshtml.dll」を呼び出す場合も同様の脆弱性があると指摘されたことを受け、他のDLLを呼び出すクラス識別子に関しても同様の対処がなされたようだ。


【MS05-039】プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる(899588)

 Windows XP SP1/SP2、Windows 2000、Windows Server 2003などに存在する脆弱性だ。Windowsで、Plag & Playのサービスを行なうプログラムに問題があり、不正なメッセージを送ることによってバッファオーバーフローを起こすことができるほか、攻撃対象のシステムのユーザーの Outlook Web Access セッションのコンテキストでスクリプトを実行させることが可能になる。

 この脆弱性は、リモートでコードが実行されるほか、ローカルでの特権の昇格を行なうことができる。つまり、インターネット経由で不正なメッセージをこのサービスに投げ、システムの管理者権限を手に入れ、コードを実行してシステムを乗っ取ることも可能であるため、深刻度「緊急」に分類されていると思われる。

 ただし、Windows 2000では匿名ユーザーでの攻撃が可能であるものの、XP、Server 2003では正規のアカウントで攻撃対象のコンピュータにログオンしなければ攻撃が行なえない。また、XP SP2とServer 2003では、この脆弱性を利用して、リモートから悪意のプログラムのダウンロードおよび実行はできないとされている。

 Windows 2000ユーザーは警戒しておく必要があるが、それ以外のユーザーにはさほど深刻な影響を与えられないで済みそうだ。とはいえ、もちろん他の修正パッチと一緒に適用しておくべきだろう。


【MS05-043】印刷スプーラの脆弱性により、リモートでコードが実行される(896423)

 「MS05-043」も、Windows XP SP1/SP2、Windows 2000、Windows Server 2003などに存在する問題だ。

 PCで印刷する際に、PCの処理スピードに比べてプリンタでの印字速度は非常に遅いため、Windowsは印刷中にデータを一時PC内に保管してプリンタの処理に合わせて少しずつ小出しにデータを送るようにしている。この、データの一時保管場所がデータスプールだが、スプールを管理する「スプーラ」のメモリの管理方法に問題があり、システムの乗っ取りを可能とするプログラムを送り込むことができたという脆弱性だ。

 この「MS05-043」についても、データと見せかけたプログラムでシステムに問題を起こし、任意のコードを実行することが可能であるため、深刻度「緊急」に分類されているようだ。

 なお、Windows 2000、Windows XP SP1では、リモートでコードを実行するために悪用されると、影響を受けるコンピュータが完全に制御される可能性があるものの、XP SP2、Server 2003ではそこまではできず、コードを実行してもDoS攻撃としかならないとされている。Windows 2000およびCXP SP1ユーザーは要警戒であるものの、その他のユーザーに関しては、さほど深刻にならなくてもよさそうだ。


「重要」「警告」に相当するセキュリティ更新

 「重要」「警告」に相当するセキュリティ更新に関しては、以下のような内容になっている。

【MS05-040】テレフォニー サービスの脆弱性により、リモートでコードが実行される(893756)

 「MS05-040」は、テレフォニーサービスで使われるTelephony Application Programming Interface(TAPI)に関する脆弱性だ。TAPIが、プログラムから与えられたバッファにメッセージデータをコピーする際に、メッセージの長さを確認しないために、本来バッファとして想定された以外のメモリにもデータを書いてしまい、結果としてデータ内に含まれるプログラムを実行してしまう可能性があった。

 この脆弱性自体は、Windows 98やMeも含めて、Windows全般に存在するが、第三者が悪用できるシステムとしては、仕組み上、テレフォニーサーバーとして他のコンピュータにサービスを公開しているWindows 2000 ServerやWindows Server 2003などに限定される。

 一般のユーザーにはあまり影響はないが、サーバー管理者は留意しておいた方がいい脆弱性情報だろう。


【MS05-041】リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる(899591)

 リモートデスクトップに関する脆弱性で、攻撃者が特別な細工をしたリモート データ プロトコル(RDP)メッセージを攻撃対象となるコンピュータに送り、サービス拒否(DoS)を起こすことができるという問題だ。

 悪意のデータを作ることができれば、特にアカウントなどを持たなくても攻撃が可能となる。しかし、できることは攻撃対象のコンピュータの反応を鈍くしたり、リクエストを受け付けなくするだけで、コードが実行されたり、特権の昇格を行なうことはできないようだ。

 Windows 2000、Windows XP、Windows Server 2003などが対象になっている。


【MS05-042】Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行なわれる(899587)

 セキュアな通信、認証などに使われるKerberos、PKINIT(公開鍵初期認証)の脆弱性だ。Kerberosに関しては、Windows 2000 Server、Server 2003の「ドメインコントローラ」となっているPCが対象となる。

 この脆弱性を利用すると、コンピュータに「60秒後、自動的に再起動する」という警告を表示し、60秒間当該PCへのログオンおよびユーザードメイン認証をできなくするほか、サービス拒否(DoS)攻撃を行なうことができたようだ。

 また、PKINITに関しては、Windows 2000、XP、Server 2003に関して、情報の漏洩が起こる可能性があり、ドメイン コントローラから送信された特定の情報が改ざんされ、機密事項を扱うクライアントのネットワーク通信にアクセスされるおそれがあった点が、今回のセキュリティ更新で修正されている。

 PKINITの脆弱性では、攻撃者は、有効なログオン資格情報を持ってクライアントとドメインコントローラ間の認証セッションの間に不正なデータをインジェクションする必要がある。

 公開された情報を見る限りでは、現実的にはあまり攻撃に使われることはなさそうだが、脆弱性情報として対応がなされたようだ。


更新された脆弱性情報

 上記のほか、以前にリリースされたセキュリティ更新も以下の脆弱性に冠する内容が更新されている。更新された脆弱性情報は「MS05-023」および「MS05-032」だ。

 「MS05-023」は、Wordの脆弱性に関しての「緊急」の情報で、4月にセキュリティ更新プログラムが提供されていた。この時点ではWord 2000、2002、2003などが対象とされていたが、今回、セキュリティ更新プログラムの適用対象としてワープロ文書を表示するビューワーソフト「Word Viewer 2003」が含まれている。

 「Word Viewer」は、マイクロソフトが無料で配布しているビューワーソフトで、これを利用することで、Wordを持っていないユーザーでもWordの文書を閲覧できる。

 「MS05-023」で修正された脆弱性は、バッファオーバーランを起こすデータを含むWord文書を開かせることにより、不正なコードを実行させることができるというものだが、セキュリティ更新プログラム公開直後から、「Word ViewerにもWord同様の問題があるのではないか」という指摘がインターネット上にあった。今回、マイクロソフト側でも確認し、修正したようだ。

 なお、Word Viewerに関しては、Office Updateではなく、Windows Updateからの更新になるので、注意しておこう。

 「MS05-032」は、深刻度「警告」の問題として、6月にセキュリティ更新プログラムがリリースされた。Microsoft エージェントの脆弱性により、なりすましが行われる可能性があるという脆弱性に対応したものだ。

 今回、Windows Server 2003 for Itanium-based Systems、Microsoft Windows Server 2003 with SP1 for Itanium-based Systems 用のセキュリティ更新プログラムが改訂された。脆弱性の内容と該当するOSから、さほど深刻な問題にはならないと考えられるが、このOSを利用しているマシンの管理者は、一応内容を確認しておくといいだろう。


関連情報

URL
  Windows Update
  http://windowsupdate.microsoft.com/
  2005年8月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-aug.mspx


( 大和 哲 )
2005/08/10 17:15

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.