マイクロソフトは15日、月例のセキュリティ修正プログラム(パッチ)として、WindowsカーネルとLSASSに特権の昇格が起こる脆弱性を修正する「MS04-044」を深刻度“重要”で公開した。
修正パッチの対象OSは、Windows Server 2003、Windows Server 2003 64-Bit Edition、Windows XP 64-Bit Edition Version 2003/SP1、Windows XP SP1/SP2、Windows 2000 SP3/SP4、Windows NT 4.0 SP6a/TSE SP6。なお、Windows Me/98SE/98は影響を受けない。
MS04-044は、「Windowsカーネルの脆弱性」と「LSASSの脆弱性」の修正パッチ。Windowsカーネルの脆弱性は、Windows のメッセージ送信サービス「Local Procedure Call(LPC)」のインターフェイスにおいて未チェックのバッファが原因となって発生するもの。LPCポートから送信されるデータのサイズの制限が検証されないため、特権の昇格が発生する。また、LSASS(Local Security Authority Subsystem Service)の脆弱性については、ドメイン認証やActive Directoryに関連するLSASSの接続情報において検証が不適切なために特権の昇格が起こる。
いずれの脆弱性も悪用することで、完全な特権を持つ新しいアカウントを作成できる。ただし、インターネット経由で悪用される可能性はなく、攻撃者によって攻撃目標となるPCにローカルでログインされなければ悪用の可能性は少ない。
関連情報
■URL
脆弱性情報(MS04-044)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-044.asp
( 鷹木 創 )
2004/12/15 12:58
- ページの先頭へ-
|