Windows HotFix Briefings
(2005年5月27日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/05/27

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[不具合情報]
Windows 2000にMS05-018を適用するとシステム・エラーが発生する

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2005/05/24
対象環境 Windows 2000

 MS05-018(Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる)の修正プログラムをWindows 2000に適用すると、システム・エラーが発生する場合がある。

 具体的な症状としては、

  • コンピュータが突然再起動する。
  • ブルースクリーンになる(エラーコードは“STOP 0x0000001E”)。
  • システム・イベントログにエラーが生成される(Event ID=1003)。

が発生するとのこと。

 この不具合は、ボリューム・パラメータ・ブロックのNULL DeviceObjectがアクセスされると発生する。この不具合を解消する修正プログラムは提供されているが、入手するにはマイクロソフトのサポート・サービスに問い合わせる必要がある。

 
[不具合解消]
MS05-012の修正適用で発生する不具合を解消する修正プログラムが公開

情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日 2005/05/19
対象環境 Windows 2000/Windows XP/Windows Server 2003

 MS05-012(OLE および COM の脆弱性により、リモートでコードが実行される)の修正プログラムを適用することにより、複数の不具合が発生することが確認されている。

 具体的な不具合は次のとおり。

  • Windows XP SP2の起動時に“Generic Host Process for Win32 Services”というエラー・メッセージが表示される。

  • Outlookの電子メール・メッセージに添付されたファイルの名前が表示されない。メールの形式としてリッチ・テキスト形式が使用されており、ファイル名に2バイト文字セット(DBCS)文字でファイル名が42文字を超えている場合にこの不具合が発生する。

  • デバッグ用のインターフェイスであるIMallocSpyを実装したアプリケーションでヒープが破損する場合がある(この不具合に関する詳細)。

 マイクロソフトは、これらの不具合を解消する修正プログラムを公開した。前出のサポート技術情報ページよりダウンロードできる。ただしマイクロソフトは、今回公開した修正プログラムはさらに追加テストが必要なレベルのものであり、障害が発生したコンピュータにのみ限定的に適用することを推奨している。

 
[不具合情報]
MS05-004の適用後、.NET Framework SPの適用でエラーが発生する

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2005/05/12
対象環境 Microsoft .NET Framework 1.0/1.1

 .NET Framework用の最新のService Pack(SP)を適用していないコンピュータ(1.0 SP3、1.1 SP1を未適用のコンピュータ)に対してMS05-004の修正プログラムを適用し、その後SPをインストールしようとすると、「修正プログラムが適用されているので、SPがインストールできない。修正プログラムをアンインストールしてから再試行せよ」といった内容のエラーが発生する。

  不具合を回避するには、MS05-004を適用する前に.NET Frameworkの最新SPをインストールするようにする。すでにMS05-004を適用してしまった場合には、いったんMS05-004をアンインストールし、.NET Frameworkの最新SPをインストールしてから、対応するMS05-004の修正プログラムを再インストールする。

 なおDA Labで調査したところでは、今回のMS05-004以外でも、最新SPよりも新しい修正プログラムについては同様の問題が発生する可能性がある。

 
[脆弱性情報]
IPv6スタックにLAND攻撃を可能にする脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ情報サイト
報告日 2005/05/17
対象環境 Windows XP/Windows Server 2003
CVE

 Windows XPおよびWindows Server 2003に搭載されているIPv6プロトコル・スタックにLAND攻撃を可能にする脆弱性がある。LAND攻撃は、不正なSYNパケットを悪用するサービス拒否攻撃である。

 以前、IPv4プロトコル・スタックにも同様の脆弱性が見つかり、MS05-019(TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる)として修正プログラムが公開されたが、IPv6の脆弱性は見落とされていたようだ。

 この件について、マイクロソフトはまだ公式な見解を示しておらず、修正プログラムも存在しない。IPv6プロトコル・スタックを利用しているユーザーは、攻撃リスクについて認識するとともに、今後の情報公開に注意する必要があるだろう。

 
[互換性/不具合情報]
Windows Server 2003 SP1のインストールで発生する不具合情報(追補)

情報の内容 互換性情報、不具合情報
情報ソース マイクロソフト、セキュリティ情報サイトなど
報告日
対象環境 Windows 2000/Windows XP/Windows Server 2003

 HotFix Briefingsでは、4月29日版および5月13日版において、Windows Server 2003 SP1インストール時に発生する互換性問題や不具合一覧についてお知らせしてきた。

 引き続き、その後追加された情報(主要なもの)についてまとめる。最新情報や、本稿で紹介できなかったものついては、セキュリティ関連BBSであるHotFix Report BBSの関連スレッドを参照されたい。

■URLに“%20”を含むリンクをIEでクリックするとエラーが発生する

 Windows Server 2003 SP1(およびWindows XP SP2)付属のIE 6で、ローカル・コンピュータやネットワーク上のファイルを参照するURL(「<a href = "file://C:/〜" >……</a>」などといった形式のもの)の一部に“%20”を使っているリンクをクリックするとエラーが発生する。当面の回避策としては、リンクに“%20”を使わないようにせよとある。

■ISA Server 2000にWindows Server 2003 SP1をインストールすると、VPNクライアントがアクセスできなくなる

 ファイアウォール・ソフトウェアのISA Server 2000が稼働しているコンピュータにWindows Server 2003 SP1をインストールすると、VPNクライアントがこれを経由して社内リソースにアクセスできなくなってしまう不具合がある。

 Windows Server 2003 SP1で変更される一部の仕様が影響を及ぼしていると思われる。この問題を解消する修正プログラムは存在するが、入手にはマイクロソフトのサポートに問い合わせる必要がある。

■BizTalk Serverで大量のドキュメントを処理しようとすると、ホスト・インスタンスがネットワーク・エラーを発生する

 BizTalk Serverが稼働しているコンピュータにWindows Server 2003 SP1をインストールすると、大量のドキュメントを処理したときにホスト・インスタンスがネットワーク・エラーを発生する場合がある。

 Windows Server 2003 SP1では、「SYNフラッド」と呼ばれるサービス拒否攻撃からシステムを防御するために、TCP/IPコネクションのキュー・サイズが制限されている。大量のドキュメント処理を実行すると、この制限に引っかかってしまう場合がある。レジストリを変更して、SYNフラッドの防御機能(SynAttackProtect)を無効化すれば不具合を回避できるとしている。当然ながら、SYNフラッドの防御機能を無効化すると、SYNフラッド攻撃に対するリスクが増加することになるので慎重に設定変更を行う必要がある。

 
[攻撃情報]
価格.com事件レポート

 カカクコムが運営する価格比較サイト「価格.com」が攻撃を受け、2005年5月15日に一時的にサイト閉鎖に追い込まれた(原稿執筆時点では、一部のサービスを除きサービスが再開されている)。攻撃の詳細は明らかになっていないが、システムの脆弱性を悪用した攻撃により、サイトの改ざんやユーザー情報(メールアドレス)の窃取が実行されたと報告されている。

 このサイト改ざんでは、インターネット上にある別サイト(www.j4sb.comなど)に配置されたトロイの木馬型ウイルス・プログラムをダウンロードして、ユーザーのコンピュータにインストールする仕掛けが組み込まれた。ユーザーのコンピュータに対するウイルス・プログラムのインストール時には、CAN-2004-0380(MHTML URLプロセスの脆弱性)の脆弱性が悪用された。この脆弱性を解消する修正プログラムは、MS04-013として、2004年4月14日にすでに公開されていたものだ。このため、MS04-013の修正を適用していないコンピュータで、Internet Explorerを利用して価格.comをアクセスしたユーザーのコンピュータがウイルス感染の被害にあった。各種メディアによれば、価格.comと同様のサイト改ざん被害がいくつかのサイトで発生したという。

 問題発生後まもなく、ウイルス対策ソフトウェア・ベンダは問題となったウイルスに対応したパターン・ファイルを提供し、ウイルスの感染被害は比較的早期に沈静化した。しかし、サーバ側が受けた攻撃内容などはほとんど明らかになっていない。朝日新聞の報道によれば、データベース処理部分の設計ミスを悪用するSQLインジェクションが使われたとされているが、詳細は不明だ。少なくとも、ウイルス・プログラムの実体は攻撃を受けたサイトには直接には置かれないので(コンテンツが改ざんされ、ウイルス・プログラムへの外部リンクだけが埋め込まれる)、サーバでウイルス対策ソフトウェアを実行しても、ウイルス・プログラム自身は発見できない。複数のサイトで同様の改ざん被害が広がったことから考えると、今回の価格.comと同様の脆弱性を持つサイトは少なくないと想像される。読者がサイト管理者なら、自身が管理するサイトが同様の攻撃を受けないかと心配になるだろう。

 カカクコムなどから正式に公開された情報はわずかだが(詳細を公表すると同様の攻撃が行われたり、捜査に支障をきたすなどの理由で、価格.comは具体的な攻撃の方法や狙われた脆弱性、対策方法などの詳細を一切明らかにしていない)、以下の掲示板には、各種メディアの記事やインターネット上のほかの掲示板などに投稿された情報などが収集され、簡潔にまとめられた投稿がある。サイト管理者は一読して損はないだろう。

 
[新着情報サービス]
マイクロソフトが新たなセキュリティ情報サービスを追加

情報の内容 新規情報サービス
情報ソース マイクロソフト
報告日 2005/05/11
対象環境

 マイクロソフトは、すでに公開している「セキュリティ情報」を補足し、セキュリティ関連の情報を公開するサービス「マイクロソフト セキュリティ アドバイザリ」の試験公開を開始した。

 このセキュリティ・アドバイザリでは、セキュリティ情報にはならないが、ユーザーのセキュリティ管理に関係がある情報を公開していくとしている。

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間