最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き〜東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」〜Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり〜米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応〜JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【セキュリティ】

〜任意のコードが実行される可能性のある脆弱性など深刻度“緊急”のものも

マイクロソフト、Windowsの全バージョンが関係する深刻な脆弱性など3種類

■URL
http://www.microsoft.com/japan/technet/security/bulletin/MS03-023.asp
http://www.microsoft.com/japan/technet/security/bulletin/MS03-024.asp
http://www.microsoft.com/japan/technet/security/bulletin/MS03-025.asp

 マイクロソフトは、Windowsの脆弱性3種類「MS03-023」、「MS03-024」、「MS03-025」を公開した。同社では、MS03-023の深刻度を“緊急”、MS03-024とMS03-025の深刻度を“重要”としており、早急に修正パッチを導入するように推奨している。

●すべてのWindowsで任意のコードが実行される可能性のある脆弱性

 MS03-023は、「HTMLコンバータのバッファオーバーランにより、コードが実行される」というもの。Windowsのすべてのバージョンにはファイルを別の形式に変換する機能を実装しており、この機能に対する変換リクエストを処理する方法に問題があった。攻撃者がこの脆弱性を利用してHTMLコンバータへの不正なリクエストを送信すると、ユーザーのPC上で任意のコードをユーザー権限で実行することが可能だ。

 また、この機能はInternet Explorerで使用されるため、攻撃者はこの脆弱性を利用したWebサイトやHTML形式のメールを作成することができる。対象となるOSは、Windowsの全バージョンで、Windows Server 2003を除いたバージョンでは深刻度“緊急”となっている。

●WindowsのSMBパケットの検証方法に問題がありデータ破損させられる脆弱性

 MS03-024は、「Windowsのバッファオーバーランによりデータが破損する」可能性のある脆弱性。WindowsのSMB(Server Message Block)パケットのパラメータを検証する方法に原因がある。SMBは、ファイル共有などに使用するプロトコル。攻撃者が、この脆弱性を利用し、特別に作成したSMBリクエストパケットを送信することで、バッファオーバーランを発生させることができる。これにより、攻撃者はデータを破壊し、システムを異常終了させることが可能で、最悪の場合、任意のコードを実行される可能性もある。ただし、攻撃者がこの脆弱性を利用するためには、有効なユーザーアカウントを有し、サーバーに認証されていることが条件となるため、深刻度は“重要”となっている。対象となるOSは、Windows XP/2000/NT Server 4.0,Terminal Server Edition/NT Server 4.0。

●Windows 2000に権限昇格する脆弱性

 MS03-025は、「ユーティリティ マネージャによるWindowsメッセージ処理の問題により、権限が昇格する」という脆弱性。ユーティリティ マネージャとは、Windows 2000が実装しているアクセシビリティを向上させるためのサポート機能だ。このユーティリティ マネージャがWindowsメッセージ処理をする方法に問題が存在する。

 攻撃者がこの脆弱性を利用し、特定の操作を行なうことによって、一般ユーザー権限から管理者権限へ昇格することができる。管理者権限を取得することによって、ファイルの削除などのあらゆる作業が可能になる。ただし、この脆弱性を利用するためには、対面的ログインが必要となるため、リモートから攻撃することはできない。従って、深刻度は“重要”に設定されている。対象OSは、Windows 2000のみ。

 今回発表された「MS03-023」、「MS03-024」、「MS03-025」の問題を修正するためには、マイクロソフトより提供されている修正パッチを適用すればよい。修正パッチは「Windows Update」や同社Webサイト上からダウンロードできる。

(2003/7/10)

[Reported by otsu-j@impress.co.jp]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.