マイクロソフトは11日、「Virtual PC for Mac」の脆弱性「MS04-005」と「Microsoft Windowsインターネットネームサービス(WINS)」の脆弱性「MS04-006」の2種類を発表した。いずれも深刻度は上から2番目の“重要”。
MS04-005は、Macintoshプラットフォーム上でWindowsのアプリケーションが利用できるようにするソフトウェア「Virtual PC for Mac」に脆弱性が存在し、権限の昇格が起こる可能性があるというもの。対象となるバージョンは、Virtual PC for Mac Version 6.1/6.02/6.01/6.0。
原因は、Virtual PC for Macが一時ファイルを作成する方法に脆弱性が存在するため。この脆弱性を悪用することにより、攻撃者が悪質なコードをファイルに挿入し、システム特権でのコード実行が可能。これによって、攻撃者はPCの完全な制御を取得する可能性もあるという。ただし、この脆弱性が悪用されるには、PCで有効なログオンアカウント、または有効なログオンアカウントへのアクセス権を既に持っていることが必要条件であるため、深刻度は“重要”に止まった。
MS04-006は、WINSに関する脆弱性で悪用されると、リモートからコードが実行される可能性のある脆弱性。原因は、細工が施されたパケットの長さをWINSが検証する方法に問題があるため。WINSは、NetBIOSで使われているマシン名をTCP/IPネットワーク上でも利用可能にする機能だ。
攻撃者は、Windows Server 2003でこの脆弱性を悪用し、細工を施したパケットをWINSサーバーに送信し、サービスを異常終了させる可能性があり、機能を回復するためには、サービスを手動で再起動する必要があるとしている。対象OSは、Windows Server 2003/2000 Server/NT Server 4.0 TSE/NT Server 4.0 。ただし、深刻度はWindows Server 2003のみが“重要”で、ほかは“注意”に止まっている。
これらの脆弱性を修正するためには、マイクロソフトより提供されているセキュリティ修正プログラムを適用すればよい。同社のWebサイトやWindows Updateからダウンロードできる。
関連情報
■URL
MS04-005
http://www.microsoft.com/japan/technet/security/bulletin/ms04-005.asp
MS04-006
http://www.microsoft.com/japan/technet/security/bulletin/ms04-006.asp
( 大津 心 )
2004/02/11 12:25
- ページの先頭へ-
|