セキュリティ・ホールの概要と影響度

　Windows Services for UNIX（SFU）／UNIXベース・アプリケーション用サブシステム（SUA）に含まれるsetuidを利用するバイナリ・ファイル（setuidバイナリ・ファイル）の処理に、特権の昇格を許す脆弱性が存在する。SFU／SUAはWindows OSのオプション・コンポーネントの一種で、UNIXとの相互運用やUNIXからの移行を支援するため機能をWindows OS上で実現する。攻撃者が細工済みのsetuidバイナリ・ファイルを直接ローカルで実行するか、あるいはユーザーを誘導して実行させると特権の昇格が発生し、コンピュータの制御が完全に奪われる危険性がある。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用時の注意点

■SFU 3.0／3.5向け修正プログラムは手動で適用する必要あり
　 MS07-053のSFU 3.0／3.5向け修正プログラムは、Windows Update／Microsoft Update／自動更新に対応していない（WSUSにも対応していない）。ダウンロード・センターから修正プログラムをダウンロードし、手動で適用する必要があるので注意が必要だ。

■Windows Server 2003 SP2＋SFU 3.5にはKB936529の修正プログラムの適用が必須
　 SFU 3.5をインストールしたWindows Server 2003にSP2を適用した場合、MS07-053のSFU 3.5向け修正プログラムの適用時に一部のファイルが正しく更新されないという現象が確認された。これはSP2の不具合によるもので、解決するにはKB936529の修正プログラムを適用した後でMS07-053の修正プログラムを適用すればよい。

• Some Interix-related functions do not work, and you cannot open a command shell after you upgrade computers to Windows Server 2003 with Service Pack 2（サポート技術情報 936529）

セキュリティ・ホールの概要と影響度

　MSN Messenger／Windows Live MessengerのWebカメラとビデオ・チャット・セッションを処理する過程に脆弱性が存在し、細工されたセッションに参加すると任意のコードが実行される危険性がある。攻撃手法としては、招待状を送信するなどして、細工済みのセッションへの参加を誘導することが考えられる。この脆弱性の実証コードは公開済みのため、攻撃に悪用されることが懸念される。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用時の注意点

■MSN Messenger／Windows Live Messengerはサインイン時に更新される
　 MSN Messenger／Windows Live Messengerのサービスにサインインするとアップグレードを推奨するメッセージが表示され、それを受け入れることで自動的にファイルの更新が実行され、MS07-054の脆弱性が解消される。Windows 2000の場合はMSN Messenger 7.0.0820へ、Windows XP／Windows Server 2003／Windows Vistaの場合はWindows Live Messenger 8.1へのアップグレードがそれぞれ求められる。このとき、アップグレードを拒否するとサービスへの接続が許可されない場合があるとのことだ。

■フル・インストール・パッケージはダウンロード・センターから入手可能
　 脆弱性が解消されたMSN Messenger 7.0.0820およびWindows Live Messenger 8.1.0178のフル・インストール・パッケージ（修正プログラムではない）は、ダウンロード・センターから入手できる。

• MSN Messenger 7.0.0820（ダウンロード・センター）
• Windows Live Messenger 8.1.0178（ダウンロード・センター）

　企業などの組織でMSN MessengerやWindows Live Messengerのインストール／更新をトップダウンで管理したい場合は、このフル・インストール・パッケージの利用を検討するとよいだろう。