Windows HotFix Briefings ALERT

セキュリティ情報
2.7件の緊急レベルのセキュリティ修正が公開(2)

DA Lab Windowsセキュリティ
2007/05/14

[緊急] MS07-027931768
Internet Explorer 用の累積的なセキュリティ更新プログラム
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-027
MSKB# 931768
対象環境 Internet Explorer 5.01 SP4/Internet Explorer 6/Internet Explorer 7
再起動 必要
HotFix Report BBSスレッド MS07-027

セキュリティ・ホールの概要と影響度

 MS07-027の修正プログラムはInternet Explorer(IE)に対する以下の5種類の脆弱性を修正する。いずれもリモートで任意のコードが実行される危険性を持つ脆弱性である。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 2000 SP4
Internet Explorer 6 Windows XP SP2
Internet Explorer 7 Windows XP SP2
Internet Explorer 6 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Vista

適用に関する注意点

■Windows XP SP2、Windows Server 2003 SP1/R2/SP2+IE 7向けの修正プログラムはMS07-016を完全に置き換えない
 TechNetセキュリティ情報によれば、MS07-027の修正プログラムはMS07-016を置き換えるとされている。だがDA Labで調べたところ、Windows XP SP2、Windows Server 2003 SP1/R2/SP2+IE 7向け修正プログラムでは、MS07-016の適用によって置き換わる「corpol.dll」が、MS07-027には含まれていない。MS07-016におけるcorpol.dllの変更点の詳細は不明だが、何らかの問題が生じる可能性があるので、MS07-016を適用してからMS07-027を適用するのがよいだろう。

■MS07-027の修正プログラム適用による既知の不具合
 MS07-027の修正プログラムを適用すると、「IEでモニカの使用がサポートされなくなる」という不具合が発生することが明らかになっている。適用前に確認し、業務に支障が生じないことを確認した方がよい。

■Windows Server 2003 SP未適用環境向けは提供されない
 サポート・ライフサイクルの規定に従い、Windows Server 2003 SP未適用環境のサポートは2007年4月で終了している。そのため、MS07-027の修正プログラムは、Windows Server 2003 SP1/SP2にのみインストールできる。

 
[緊急] MS07-028931906
CAPICOM の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-028
MSKB# 931906
対象環境 CAPICOM
再起動 不要
HotFix Report BBSスレッド MS07-028

セキュリティ・ホールの概要と影響度

 データの暗号化などを行う「CAPICOM(Cryptographic API Component Object Model)」に、入力値の検証を十分に行わない脆弱性が存在する。CAPICOM.Certificates ActiveXコントロール(CAPICOM.DLL)に対して細工されたパラメータを渡されると、任意のコードが実行される可能性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
CAPICOM CAPICOM、Platform SDK Redistributable : CAPICOM、BizTalk Server 2004 SP1/SP2、CAPICOM 2.1.0.1以前を含むアプリケーションなど

適用に関する注意点

■CAPICOM.DLLはサードパーティ製アプリケーションとインストールされることがある
 CAPICOMはデータの暗号化などを行うコンポーネントである。Windows OSにはデフォルトでは含まれていないが、サードパーティ製のソフトウェアとともにインストールされている可能性がある(例えばNorton Internet Security 2007で利用されている)。

■適用にはWindows Installer 3.1が必要
 Windows 2000 SP4で、MS07-028の修正プログラムを適用するには、事前にWindows Installer 3.1(本来は3.0以降だが、3.1が望ましい)をインストールしておく必要がある。Windows XP SP2とWindows Server 2003 SP1/R2/SP2は、デフォルトでWindows Installer 3.1がインストールされているので、そのまま適用可能である。

■MS07-028の修正プログラムを適用しても古いCAPICON.DLLは削除されない
 MS07-028の修正プログラムでは、脆弱性が存在するDLLを置き換えずに、更新されたCAPICOM.DLLの情報をコンピュータに登録し、古いCAPICOM.DLLを使用しないように設定している。そのため、検索を行うとバージョンの異なる複数のCAPICOM.DLLが見つかることがある。ファイルのバージョンが2.1.0.2以降であれば、脆弱性は解消されている。

 
[緊急] MS07-029935966
Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-029
MSKB# 935966
対象環境 Windows 2000 Server/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS07-029

セキュリティ・ホールの概要と影響度

 Windows DNSサーバの管理用RPCインターフェイスにバッファ・オーバーフローの脆弱性が存在し、細工されたRPCリクエストを受信すると、任意のコードが実行される危険性がある。これはDNSサーバをリモートから管理する場合に使われる、RPCインターフェイスにおける脆弱性である。通常インターネットに向けて公開するDNSサーバでは、管理用のRPCインターフェイスをインターネットに向けて公開していることは少ないだろうが(DNSの要求だけを受け付け、管理用RPCインターフェイスへの接続は拒否する)、ファイアウォールなどを利用せずに運用している場合は、早急な対策が必要である。

 この脆弱性については、緊急性が高いため、脆弱性が見つかった先月の時点で、以下のセキュリティ・アドバイザリ情報が出されていた。今回のMS07-029は、このDNSサーバの脆弱性を根本的に対策するものである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Server Windows 2000 Server/Advanced Server SP4
Windows Server 2003 Windows Server 2003 SP1/R2/SP2

適用に関する注意点

■Windows Server 2003 SP未適用環境向けは提供されない
 サポート・ライフサイクルの規定に従い、Windows Server 2003 SP未適用環境のサポートは2007年4月で終了している。そのため、MS07-029の修正プログラムは、Windows Server 2003 SP1/SP2にのみインストールできる。

 

 INDEX
  [Windows HotFix Briefings ALERT]
    1.7件の緊急レベルのセキュリティ修正が公開(1)
  2.7件の緊急レベルのセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間