2005年11月9日、マイクロソフトは11月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報は1個（MS05-053）で、最大深刻度は緊急レベルとなっている。

• MS05-053［緊急］：Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある

　Graphics Rendering Engine（画像描画エンジン）がWindowsメタファイル（WMF）や拡張メタファイル（EMF）をレンダリングする過程に未チェック・バッファの脆弱性が存在する。細工されたWMF形式やEMF形式の画像を表示すると、画像ファイルに埋め込まれたコードが実行され、最悪の場合、悪意ある攻撃者によってコンピュータを完全に制御される危険性がある。画像掲示板にアップロードされた画像やメール添付の画像を表示することにより、攻撃される可能性がある。マイクロソフトによれば、攻撃例は確認できていないとしているが、一部の脆弱性に対する実証コードが確認されていることや脆弱性を発見したeEye Digital Securityが詳細な技術情報を公開していることから、この脆弱性が攻撃に利用される危険性が高まっている。早急に修正プログラムを適用した方がよい。

　eEye Digital Securityは、Macromedia Flash Player 6および7に配列の境界条件を適切に検証しない脆弱性が存在し、任意のコードが実行される危険性があることを報告した。

• Macromedia Flash Player Improper Memory Access Vulnerability［英語］
• eEye Advisories：Macromedia Flash Player不正メモリアクセス脆弱性

　細工されたSWF形式のファイル（Flashのデータ・ファイル）を再生すると、それに含まれるコードが実行されてしまう。eEye Digital Securityによれば、ヒープ・メモリ上に特定のデータを格納することにより、攻撃者がInternet Explorer上でこの脆弱性を悪用できるという。実証コードや攻撃サイトは確認されていないが、詳細な技術情報が公開されていることから、攻撃の危険性が高まっている。マクロメディアは、この脆弱性を解消したFlash Player 8.0.22.0をリリースしている。Flash Playerを利用している場合には、早急にバージョンアップした方がよい。

• MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability［英語］

■関連サイト

• Macromedia Flash Player ダウンロードセンター Windows
  

　セキュリティベンダのF-SecureとMcAfeeは、MS05-039の脆弱性を悪用する「Mocbot」を検出したことを、2005年10月23日に報告した。MS05-047の修正プログラムはMS05-039の脆弱性の内容が似ていたことから、一報ではMS05-047の脆弱性を突くと発表されたが、以下のセキュリティベンダの報告では修正されており、Mocbot.AはMS05-039の脆弱性を悪用するとのことだ。

• F-Secure（F-Secure Virus Descriptions : Mocbot.A）
• McAfee（IRC-Mocbot）

　Mocbotは、Windows 2000／XPのプラグ・アンド・プレイ・サービスの脆弱性を悪用する攻撃用パケットを送信し、脆弱性の存在するシステムに感染する。その後、IRCサーバに接続して攻撃者の命令を待機し、攻撃者の指示によりDoS攻撃（サービス拒否攻撃）や感染拡大を行う。今回の情報はMS05-039を突くバックドア「Mocbot」のものだが、MS05-047の脆弱性を突く実証コードが複数公開されており、MS05-047を悪用するプログラムの登場も懸念される。

　トレンドマイクロは、MS05-048の脆弱性を悪用するJavaScriptが埋め込まれたWebサイトを発見した、と2005年10月18日に報告した。

• Trend Micro（JS_WONKA.B）
• Trend Micro（CHM_DROPPER.CN）

　MS05-048の脆弱性は、メールを容易に作成・変更できるように用意されているCOMコンポーネントのCollaboration Data Objects（CDO）に、未チェック・バッファが存在するという脆弱性だ。同社の報告によれば、2つのサイトで脆弱性を悪用するJavaScriptを発見したという。まだMS05-048を適用していないなら、早期に適用した方がよいだろう。

■HotFix Report BBS関連スレッド

• MS05-048［重要］：Microsoft Collaboration Data Objects の脆弱性により、リモートでコードが実行される

　日立製作所は、クライアントPCにMS05-052の修正プログラム（IEの累積的な更新プログラム）を適用すると、同社の端末エミュレータ「CommuniNet Object Server」が、オンライン端末や環境設定が正しく動作しなくなる不具合を発生すると報告した。

• 日立製作所（Windowsセキュリティパッチ(MS05-052)適用環境におけるCommuniNet Object Serverの障害）

　CommuniNet Object Serverは、Webブラウザ上からメインフレームへのオンライン接続を行う端末エミュレータ製品である。MS05-052の修正プログラムを適用すると、オンライン端末が起動しない、環境を設定しようとしても端末情報の設定ダイアログが表示されない、という現象を引き起こす可能性があるとしている。オンライン端末や環境設定を使用しないサーバ側コンピュータは問題なく動作するという。

　この問題を回避するには、サーバをCommuniNet Object Server 02-06にバージョンアップするか、クライアント側コンピュータでInternet Explorerの［セキュリティ］タブで［信頼済みサイト］にCommuniNet Object Serverで運用しているURLを追加すればよい。

■HotFix Report BBS関連スレッド

• MS05-052［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム

　マイクロソフトは、2005年10月12日にリリースしたMS05-050の修正プログラムが、Windows 2000 SP4に正しく適用できない不具合があることを2005年10月21日に公表した。

• MS05-050：DirectShow の脆弱性により、リモートでコードが実行される（MSKB 904706）

　MS05-050の修正プログラムは、動画や音声などを利用するためのAPIを提供するDirectShowが、AVI形式のファイルを再生する際にメッセージの長さを検証する方法を変更する。MS05-050では、DirectXのバージョンごとに、Windows 2000 SP4用として3種類の修正プログラムが用意されている。Windows UpdateおよびMicrosoft Updateで修正プログラムを適用した場合には、自動的にDirectXのバージョンが検出されるため正常に適用される。だが、ダウンロード・センターなどから手動で入手した修正プログラムをインストールする場合、ユーザーが誤ってシステムのDirectXバージョンと合致しない修正プログラムを適用しても、一見正常に終了してしまう。しかし実際には、MS05-050の脆弱性の対象となる「quartz.dll」が置き換わらず、脆弱性は修正されないままとなる。

　正しく修正プログラムが適用されると、脆弱性の対象となるquartz.dllは以下のバージョンへ更新される。また、正しく修正プログラムが適用されれば、Windows UpdateおよびMicrosoft Updateを実行した場合に、「Windows 2000 用セキュリティ更新プログラム (KB904706)」「Windows 2000 用 DirectX 8 のセキュリティ更新プログラム (KB904706)」「Windows 2000 用 DirectX 9 のセキュリティ更新プログラム (KB904706)」のいずれも表示されない。

■関連サイト

• DirectX 8 または DirectX 9 を実行する Windows 2000 ベースのコンピュータに "Windows 2000 上の DirectX 7.0 用のセキュリティ更新プログラム (KB904706)" をインストールした後、コンピュータが更新されない場合がある（MSKB 909596）

■HotFix Report BBS関連スレッド

• MS05-050［緊急］：DirectShow の脆弱性により、リモートでコードが実行される

　マイクロソフトは、MS05-052の修正プログラム（IEの累積的な更新プログラム）をコンピュータに適用すると、一部の環境でActiveXコントロールのロードに失敗するようになる不具合が発生する、と報告した。

• ActiveX controls may not load as expected in Internet Explorer due to defense in depth changes introduced in cumulative security update 896688 (MS05-052)［英語］（MSKB 909889）

• A Web page that contains a custom ActiveX control may not load as expected in Internet Explorer due to defense in depth changes introduced in cumulative security update 896688 (MS05-052)［英語］（MSKB 909738）

　原因は、MS05-052の修正を適用することにより、IEのセキュリティ構成が一部変更されるためだ。不具合が発生した場合には、上記サポート情報を参照し、レジストリなどを変更すれば不具合を回避できる。

　Windows向け無償ツールの提供元として著名なSysinternalsを運営し、テクニカル・ライターとしても活躍しているMark Russinovich氏が、ソニー製音楽CDに含まれるコピー・コントロール用のプログラムがrootkitのような作りになっており、さまざまな問題の原因になり得る、とブログで発表して波紋を呼んだ。

• ソニーが音楽CDに組み込んだ“Rootkit”とは何者か？（Insider's Eye）
• （原文）Sony, Rootkits and Digital Rights Management Gone Too Far［英文］

TIPS：クラッキングを手助けする“Rootkit”ツールを検出する

　同氏の解析によれば、ソニー製音楽CDに付属する専用プレーヤ・ソフトウェアがWindows APIのサービス・テーブルを書き換えたり、フィルタ・ドライバをRootkit的な手法でCDドライブにインストールしたりしてしまう、という。困ったことに、原因となっているプログラムは自身を隠蔽するために、簡単には見つけられず、削除もできない。音楽CDが原因なので、企業ユーザーへの影響は限定的だと思われるが、結果は重大なので注意は必要だろう。

■HotFix Report BBS関連スレッド

• SONY製音楽CDのコピーコントロール・プログラムがrootkitを組み込む

　日立ソフトウェアエンジニアリングは、シマンテック製「Norton AntiVirus 2006」をインストールすると、同社のファイル暗号化ソフトウェア「秘文」シリーズでの暗号化／複号化機能が正しく動作せず、暗号ファイルが破壊される可能性がある、と発表した。

• Norton AntiVirus 2006をはじめとするシマンテック社セキュリティ製品をインストールすると、暗号ファイルが扱えなくなる問題についてのお知らせ(続報)

　対象となる製品は、秘文AE Information Cypher、同Information Share、秘文／Enterprise、秘文／SAFE Personalの全バージョン。上記ソフトウェアがインストールされ環境に、シマンテック製Norton AntiVirus 2006／Internet Security 2006／SystemWorks 2006／System Works 2006 Premierのいずれかをインストールすると問題が起こる。具体的には、秘文フォーマット済みドライブ、または共有秘密フォルダ、ローカル機密フォルダ内の暗号ファイルにアクセスすると、不具合が発生するという。

　シマンテック社は、この不具合を解消するためのサポート情報を2005年10月30日に発表した。

• データ暗号化プログラムで暗号化したファイルを開けない (Norton AntiVirus 2006 インストール後)

■HotFix Report BBS関連スレッド

• シマンテック製セキュリティ製品をインストールすると日立 秘文で暗号ファイルを扱えなくなる

　マイクロソフトは、Windows Server 2003で共有されているファイルをクライアントPCから検索する際に、Index Serviceが利用されないという不具合があることを報告し、この不具合を修正するプログラムの配布を2005年11月4日に開始した。

• クライアント コンピュータは、 Windows Server 2003 ベースのコンピュータでのファイルを検索するために、 Windows インデックス サービスを使用しません。［機械翻訳］（MSKB 904714）

　この不具合は、インデックスが最新でない場合に、Windows Indexing Serviceが使われないことにより起こるという。修正プログラムは、Windows Server 2003のx86版とx64版のみで、Itanium（IA64）版はまだ用意されていない。

■HotFix Report BBS関連スレッド

• クライアント PC からのファイル検索に関する WS03 用修正プログラム KB904714 がリリース
  

　マイクロソフトは、Windows 2000 SP4に更新ロールアップ1とMS05-043の修正プログラムを適用した環境で、ネットワーク・プリンタへの印刷時にエラーが発生する不具合を明らかにし、それに対する修正プログラムを公開した。

• You may be unable to print to a network printer after you install security update 896423 on a computer that is running Windows 2000 with Service Pack 4［英語］（MSKB 908506）

• Windows 2000 用の更新プログラム (KB908506)

　この問題は、Windows 2000 SP4にMSKB 891861の更新ロールアップ1を適用した環境から、Lexmark製、デル製、IBM製のいずれかのネットワーク・プリンタに出力すると発生する。更新ロールアップ1には2つのバージョンがあるが、どちらで問題が起こるのかは明記されていない。DA Labでの検証によれば、このMSKB 908506の修正プログラムで更新されるファイルは、更新ロールアップ1 v2で更新されるファイルに含まれていない。このことから、更新ロールアップ1のバージョンに関わらず生じる問題と推察される。なお、この修正プログラムを適用しても不具合が解消されない場合は、クライアントPCでいったんプリンタを削除し、ネットワーク・プリンタを再インストールする必要があるとのことだ。

■HotFix Report BBS関連スレッド

• MS05-043［緊急］：印刷スプーラの脆弱性により、リモートでコードが実行される

　SecurityElf.orgを運営するAndrey Bayora氏が、複数のウイルス対策ソフトウェアにおいて、細工されたウイルスやワームが検疫を通過してしまう脆弱性が存在することを報告した。

• The Magic of magic byte.［英語］

　同氏の解析によると、多くのウイルス対策ソフトウェアは、検出速度を上げるために最初にファイル・タイプを調べ、ファイル・タイプごとにウイルス／ワームの有無を検査する仕組みになっているという。そのため、ファイル・タイプを偽装するような「マジック・バイト」を仕込むことにより、ウイルス対策ソフトウェアの検出を通過できるようだ。ファイル・タイプは、例えば実行形式（PEファイル）であれば先頭2bytesは「MZ」となっているが、これを別の「ZZ」に変更することにより、多くのウイルス対策ソフトウェアは検出しなくなるとしている。

　どのウイルス対策ソフトウェアにこの脆弱性があるかは、以下の記事に詳述されているが、同氏が試した結果であり、すべてのソフトウェアを調べきれている保証はない。自分のシステムに導入しているウイルス対策ソフトウェアが安全かどうかは、ベンダに確認した方がよい。

• Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through forged magic byte.［英語］

　Skype Technologies社は、同社のIP電話ソフトウェア「Skype」のWindows版に、バッファ・オーバーフローによる脆弱性が存在すると発表した。

• SKYPE-SB/2005-002: Buffer overflow in Skype-specific URI and VCARD import handling［英語］（Skype）

• SKYPE-SB/2005-003: Heap overflow in networking routine［英文］（Skype）

　Skypeによって拡張されるURIのハンドラ「callto://」「skype://」から、特殊な方法でSkypeが呼び出されることにより、DoS攻撃を受けたり任意のコードが実行されたりする危険性があるという。これは、同ソフトウェアのビルドに使用されているボーランド社のDelphiのバグによるもので、Skype社は、メモリ境界チェックを行うルーチンを入れ替えることによりこの脆弱性を解消したバージョンを配布している。バージョン1.4.x.84以降のバージョンにはこの脆弱性は存在しないので、Skypeユーザーは、すぐにもバージョン・アップしておきたい。

■関連サイト

• SysUtils.WideFmtStr crash by long arguments［英語］（Borland）

■HotFix Report BBS関連スレッド

• Skypeに2個の緊急レベルの脆弱性

　米セキュリティ研究機関のSANは、Oracle製データベース・ソフトウェアのパスワード・ハッシュを生成するアルゴリズムに脆弱性が存在する、と発表した。

• An Assessment of the Oracle Password Hashing Algorithm［英語］

　SANSの研究者であるJoshua Wright氏とロンドン大学のCarlos Cid氏の共著「An Assessment of the Oracle Password Hashing Algorithm」という論文によれば、例えば「ORACLE」と「ORACL」という平文に対するハッシュ値が同一になってしまうという。

• An Assessment of the Oracle Password Hashing Algorithm［英語］［PDF］

　両氏およびSANSはOracle社へ連絡済みというが、この問題に対して同社は正式なコメントを発表していない。上記の論文によれば、根本的な解決法ではないものの、パスワードを12文字以上にする、パスワードの有効期限を60日に制限する、TNS名を含むパケットを暗号化する――といった対策があるという。修正プログラムなどの根本的な対策が公表されるまで、ハッシュ化されたパスワードであっても、なるべく漏洩しないようにする必要があるだろう。

■関連サイト

• Oracle password protection is weak, experts say［英語］（InfoWorld）

■HotFix Report BBS関連スレッド

• Oracleのパスワードハッシュ機能に脆弱性

　Piotr Bania氏は、アップル・コンピュータのマルチメディア・プレーヤ「QuickTime」に4件の脆弱性が存在することを報告し、アドバイザリを公開した。

• Apple QuickTime Player Remote Integer Overflow (1)［英語］
• Apple QuickTime Player Remote Integer Overflow (2)［英語］
• Apple QuickTime Player Remote Denial Of Service［英語］
• Apple QuickTime PICT Remote Memory Overwrite［英語］

　QuickTimeは、Windowsにおけるビデオ再生やPICT形式画像の表示に広く利用されている。細工されたMOV形式の動画ファイルをQuickTimeで再生すると、任意のコードが実行されてしまう危険性がある。また、細工されたPICT形式の画像をQuickTime PictureViewerで表示すると、やはり任意のコードが実行される危険性がある。MOVファイルの属性情報が消失している場合、DoS攻撃に遭う可能性もあるという。実証コードは確認されていないが、MOV形式の動画ファイルをインライン再生させるWebサイトも多いことから、十分に警戒が必要である。

　アップル・コンピュータは、これらの脆弱性を解消したQuickTime 7.0.3の提供を開始している。QuickTimeをインストールしている環境では、早急にバージョンアップした方がよい。

■関連サイト

• About the security content of QuickTime 7.0.3［英語］（Apple Computer）

［マイクロソフト］

• Windows Server 2003 を実行しているコンピュータで MDAC 2.8 のインターフェイス リモート コンポーネントを使用する64 ビット プログラムを実行しようとすると、アクセス違反は、発生することがあります［機械翻訳］（MSKB 904639）
  ＃64bitアプリケーションからWindows Server 2003のMDAC 2.8に対してリモート接続する際にアクセス違反のエラーが発生することがある、という不具合の修正プログラム

• HP ProLiant のために、と 整合性更新 のために、 SMS 2003 インベントリ ツール にソフトウェアの更新の配布ウィザードを使用すると、アクセス違反が発生します［機械翻訳］（MSKB 906554）
  ＃HP ProLiantとIntegrityでSMS 2003 SP1のインベントリ・ツールを使用するとアクセス違反が発生する不具合の修正プログラム

［その他のベンダ］

• Cisco Airespace Wireless LAN Controllersに情報漏えいの脆弱性

• CiscoのManagement Center for IPS Sensors (IPS MC) でセキュリティポリシーがバイパスされる

• CiscoのIOSにバッファ・オーバーフローの脆弱性

• PHP 4.4.0 以前 / PHP5.0.5以前にリモートでスクリプトが実行される脆弱性

• CiscoのIOSにバッファ・オーバーフローの脆弱性

• IBM Lotus Dominoに複数の脆弱性