Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

【特別企画】4月のWindowsUpdateの内容を確認しよう


 マイクロソフトは毎月1回、米国西海岸時間で第2火曜日朝(日本時間では第2水曜日未明)にセキュリティ情報の更新と同社製ソフトのセキュリティパッチをリリースする。

 今回Windowsアップデートを実行すると提供されるセキュリティ更新は以下の通りだ。

  • Windows インストーラ 3.1
  • 悪意あるソフトウエアの削除ツール
  • Windows XPのセキュリティ更新プログラム
  • Internet Explorerの累積的なセキュリティ更新プログラム
 また、当該アプリケーションを利用している場合には、以下のセキュリティ更新も実行される。

  • MSN Messangerのセキュリティ更新プログラム
  • Wordのセキュリティ更新プログラム
  • Exchange Serverのセキュリティ更新プログラム
 今回のセキュリティ更新プログラムが修正する脆弱性は、緊急のものが5つ、重要なものが3つ。パーソナルユーザー、ビジネスユーザーのいずれにも重要であろうと思われる内容で、ものによっては「脆弱性の内容を知るだけで、攻撃コードが簡単に作れそう」なものも含まれている。これを利用した不正なコードが出回る可能性もあるので、なるべく早めにUpdateの適用をすべきだろう。


「悪意あるソフトウエア削除ツール」対象に、新ウイルス追加

 今回はセキュリティ更新以外にも、Windows インストーラの新版3.1がリリースされたほか、「悪意あるソフトウエアの削除ツール」が更新された。また、すでに予告されていた通り「Windows XP SP2適用遮断ツール」の提供が12日で終了した。

 Windowsインストーラは、msi形式でまとめられたWindowsアプリケーションのアーカイブをシステムにインストールするための仕組み。「ファイルコピーと同時にプログレスバーが100%になってしまう」など、3.0で知られていたいくつかの問題が修正されている。

 また、「悪意あるソフトウエアの削除ツール」だが、13日正午現在、マイクロソフトのサイトには日本語では更新内容の説明はないが、英語版のページによると今月リリースされているものは「V1.3」とされるもので、駆除対象ウイルスに以下の3種が追加されている。

・W32/Hackdef
・W32/Mimail
・W32/Rbot

 なお、これまでマイクロソフトから配布されていた「Windows XP SP2適用遮断ツール」だが、12日で提供が終了した。ツールの日本語説明ページ自体はまだ存在しているが、ツールのダウンロードはできなくなっている。この件に関しては、本誌でも「Windows XP SP2適用遮断ツールが12日で終了する」の記事で報じている。


今回対応した「緊急」の脆弱性は5つ

 マイクロソフトはセキュリティ問題の深刻度を上から「緊急(Critical)」、「重要(Important)」、「警告(Moderate)」、「注意(Low)」の4段階でレベル分けしている。悪用したコードが使われやすい、管理者権限が奪われるなど、深刻な被害につながりやすい脆弱性が「緊急」に分類されている。

 今回のセキュリティ修正プログラムによって対応された脆弱性情報は緊急が5つ、重要が3つだ。緊急のものは、Windows、Internet Explorer(IE)、Exchange Server、MSN Messanger、Wordの脆弱性となっている。特にIEの脆弱性とMSN Messangerの脆弱性については、詳細がわかればすぐにでも悪用ができそうな情報なので注意が必要だろう。


【MS05-019】TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066)

 MS05-019は、Windows上に発見された不正なIPパケットを送り込むことによって、標的とするPCにDoS攻撃を仕掛けることが可能で、またリモートからコードを上に送り込み実行できるという脆弱性だ。

 DoS攻撃およびリモートからの管理者権限に使われる可能性がありそうな脆弱性である。ただし、このIPパケットはほとんどのルータが転送を行なわないとされているので、ルータやファイアウォールを経由してインターネットに接続しているPCが感染することはなく、また爆発的に流行するようなウイルスなどに利用される可能性は低いと考えられる。

 DoS攻撃はNT系の多くのOSで引き起こすことができるが、リモートコード実行の対象はWindows 2000、およびXP SP1以下のみで、SP2ではできないとされている。

 なお、この修正ではネットワークのパフォーマンスが低下する可能性があるとされている。現在、筆者の環境では目立った低下は確認できていないが、パフォーマンスにセンシティブな環境では注意して適用すべきだろう。


【MS05-020】Internet Explorer 用の累積的なセキュリティ更新プログラム (890923)

 Internet Explorerの脆弱性で、以下の環境が対象となる。Windows Server 2003 SP1 には、このセキュリティ修正プログラムが含まれる予定だ。

・Windows Server 2003 Windows XP 64-Bit Edition Version 2003 上の IE 6
・Windows XP SP2 上の IE 6
・Windows XP SP1、Windows 2000上の IE 6 SP1
・Windows 2000上の IE 5.01

 このセキュリティ修正プログラムで対応されるシステムの脆弱性は2つある。1つは、2004年12月に米国のiDefense社から報告されていた、DHTMLエンジンの問題によるものだ。DHTMLエンジンとは、Jスクリプト、VBスクリプト、CSS(カスケーディングスタイルシート)などを制御するIE内部の仕組みを指すが、100%確実ではないものの、高い確率でWebに書かれたコードを閲覧したマシン内で実行できてしまうという。なお、この場合、Webブラウザでページを閲覧したユーザー権限での実行となる。

 もう1つは、これも昨年12月に米国のiDefense社から報告されていたもので、IEのURLの解釈の問題で、不正なアドレスでコードを実行できてしまうという脆弱性だ。

 IEのURL解釈エンジンには、長いホスト名の扱いに問題があり、256文字以上のホスト名を持つURLをリクエストしようとするとヒープを壊すという問題があった。ここに不正なコードを仕込むと、不正なプログラムをリモート上のPCで実行するという、いわゆるバッファオーバーフロー攻撃が可能となるセキュリティホールがあったのである。

 なお、この更新プログラムでは、以前に提供されているIE用のセキュリティ更新プログラム「MS05-014」で修正されたDHTMLエンジン、URL解析部に関する修正も含まれている。


【MS05-021】Exchange Server の脆弱性により、リモートでコードが実行される (894549)

 これは、Exchangeサーバの脆弱性だ。SMTPサービスが、拡張コマンドのバッファのチェックに抜けがあったため、Exchange 2000の動いているサーバのSMTPポートに接続し、あるコマンドを送り込むことで、サーバー上で任意のコードをサーバーソフトが動いていた権限のユーザーとして実行できるというセキュリティホールに対応している。 

 Exchange Serverというソフトは一般ユーザーのPCにインストールすることはあまりないが、サーバー管理者には要注意の情報だ。特にメールサーバーをインターネットに向けて公開している場合は早急にパッチを当てるべきだろう。


【MS05-022】MSN Messenger の脆弱性により、リモートでコードが実行される (896597)

 これは、MSN Messengerの画像レンダリングエンジンに関するものだ。GIF画像情報中にありえない高さや幅の情報を含むと、Messangerが適切に処理を行なうことができないという内容である。

 この脆弱性に関しては情報が非常に少ないのだが、これを悪用すると、特殊な絵文字や写真をメッセンジャーの通話相手に表示させる(メッセージを送るだけでも表示される)ことで、GIFファイル中に混ぜ込んだ不正なプログラムを通信先の相手のPC上で実行することができるという、非常に危険なもののようだ。

 個人的には、詳細な情報がわかれば容易に悪意の攻撃コードを作成できるような脆弱性であるように思える。この「MS05-022」に関しては、Messangerユーザーはできるだけ早くセキュリティ修正プログラムを適用すべきだろう。

 なお、Messangerの場合、メンバーリストに追加された相手のみが、絵文字や画像を表示させることができる。従って、前述した問題自体は、悪意のユーザーをメンバーに追加しないことでも対処することが可能だ。このセキュリティホールに限った話ではないが、まったく知らない人からのメンバー追加の許可などには、危険なので応じないように日ごろから心がけておくべきだろう。


【MS05-23】Microsoft Word の脆弱性により、リモートでコードが実行される (890169)

 これはワープロソフト、Wordの脆弱性だ。新たに確認された2つの脆弱性の問題を解決するとされている。内容としては、どちらもバッファの未チェックによりバッファオーバーランを起こす可能性があるとされているものだ。

 攻撃の方法としては、このバッファオーバーランを起こすデータを含むWord文書を開かせることにより、不正なコードを実行させる、ということが考えられる。

 情報があまり公開されていないので詳細はわからないが、ワード文書を使った不正プログラムは、人間の目では見分けが付きにくいので、更新しておくほうが安心だろう。このセキュリティ更新プログラムには、一昨年に公開されたMS03-050の内容も含んでいる。

 なお、余談だが、この「MS05-023」に対応したセキュリティパッチと称して、一部に、ウイルスメールが出回っているようだ。これは「TORVIL」と呼ばれるウイルスで、もちろん、セキュリティパッチとは何も関係がない。メールで送られてきたようなセキュリティパッチは絶対に適用しないように注意したい。


「重要」は3つ

 緊急よりランクの下がる「重要」にあたる脆弱性は3つだ。ただしランクが下がるとは言っても、内容を見る限り「MS05-016」「MS05-018」はむしろ緊急より重要性のある情報が含まれているように思える(管理者権限を乗っ取られないというだけで、悪用がしやすいなど)。

【MS05-016】Windows シェルの脆弱性により、リモートでコードが実行される (893086)

 Windowsシェルの、HTA(HTML アプリケーション)のCLSIDの扱いに関する脆弱性で、Windows 2000とWindows XPにこの脆弱性が存在する。

 危険性としては、 こ不明な拡張子を持つファイルをオープンする際に、HTML Application Host アプリケーションを処理するためのエンジンが呼び出され、通常は使用されない場合にも、Windows シェルがそのアプリケーションを起動してしまう可能性がある。そのため、リモートからコードが実行される可能性があるようだ。実行されたコードは、現在のユーザーの権限で実行されるため、ユーザーがadministratorでログオンしている場合、管理者権限を乗っ取ることが可能だ。

 この情報も米国のiDefenceより、脆弱性情報が詳細に公開されている。

【MS05-017】メッセージ キューの脆弱性により、コードが実行される (892944)

 MSMQ に脆弱性が存在し、リモートでコードが実行される可能性があるという問題だ。

 Windows XP SP1,Windows 2000のみが対象で、XP SP2は対象ではない。また、アプリーケーションとしては、BizTalk Server 2000、 または2002などわずかなソフトでしか使っていないので、それほど多くのユーザでは問題にならないだろうが、対象ソフトを利用しているサーバーの管理者は注意して欲しい。

【MS05-018】Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859)

 これは、以下に挙げるWindowsの脆弱性を修正するセキュリティパッチだ。

・フォントの脆弱性
・カーネル脆弱性
・オブジェクト管理の脆弱性
・CSRSSの脆弱性

 フォントの脆弱性、カーネル脆弱性、CSERSSの脆弱性は、いずれもそれぞれのサブシステムの問題で、本来許されない権限(たとえばユーザー権限から、管理者権限)への移行を行うことができるという問題だ。ちなみに、CSRSSとは Win32サブシステムのユーザーモード部分のことだ。

 オブジェクト管理の脆弱性は、NT系のOSで、PCが応答しないようにしたり、自動的に再起動させる、いわゆるDoSを行うことができるというものだ。

 いずれも、ローカルでのログオンが必要なため、悪用される可能性は小さいが、他のツールとの組み合わせで悪用される可能性もあるので、念のために適用すべきセキュリティ修正プログラムだ。


URL
  Windows Update
  http://windowsupdate.microsoft.com/
  2005年4月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-apr.mspx

関連記事
WindowsのTCP/IPに“緊急”の脆弱性~マイクロソフトが月例パッチ公開(2005/04/13)
IEやMSNメッセンジャー、Wordにも“緊急”の脆弱性(2005/04/13)
Windows Me/98向けパッチの改訂版公開~過去のパッチでは不具合も(2005/04/13)
マイクロソフトのウイルス駆除ツール、合計20種類のウイルスに対応(2005/04/13)


( 大和 哲 )
2005/04/13 17:17

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.