Windows HotFix Briefings ALERT（2005年12月20日版）

　2005年12月14日、マイクロソフトは12月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報はMS05-054／055の2個で、それぞれ最大深刻度は緊急（1）レベルと重要（2）レベルとなっている。

• MS05-054［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム
• MS05-055［重要］：Windows カーネルの脆弱性により、特権が昇格される

　MS05-054の修正プログラムは、CAN-2005-2829／2830／2831／1790の4つの脆弱性を解消する。この修正プログラムは、脆弱性の対象となるCOMオブジェクトのkill bitを設定して、Internet Explorerによるインスタンス化を禁止するMS05-037／038／052の修正プログラムを置き換える。すでにこれらのうち、いくつかの脆弱性を検証する実証コードや攻撃が確認されていることから、早急に修正プログラムを適用する必要がある。

　MS05-055の脆弱性はWindows 2000を対象としたもので、ローカルでログオンしてプログラムを実行できることが攻撃の条件となっている。脆弱性を報告したeEye Digital Securityによれば、Windows NT 4.0にも同じ脆弱性が存在するという。インターネットから直接攻撃を受ける危険性は低いが、メールに添付されていたり、Webサイトからダウンロードしたりしたファイルをユーザーが誤って実行してしまうことにより、この脆弱性を攻撃される危険性がある。

■HotFix Report BBS関連スレッド

• MS05-054［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム
• MS05-055［重要］：Windows カーネルの脆弱性により、特権が昇格される
  

　ウイルス対策ソフトウェア・ベンダなどは、MS05-051の脆弱性を攻撃するワーム「Dasher」と複数の亜種が検出されたことを報告した。

• W32.Dasher.A（シマンテック）
• W32.Dasher.B（シマンテック）
• W32.Dasher.C（シマンテック）
• W32.Dasher.D（シマンテック）
• WORM_DASHER.A（トレンドマイクロ）
• WORM_DASHER.B（トレンドマイクロ）
• WORM_DASHER.C（トレンドマイクロ）
• W32/Dasher.worm（マカフィー）
• W32/Dasher.worm.gen（マカフィー）

Windows HotFix Briefings（2005年12月9日版）

　MS05-051で公開されたMSDTCの脆弱性とは、分散トランザクション処理を行うMSDTCの機能に未チェックのバッファが存在するというものだ。この脆弱性により、任意のコードが実行されてしまう危険性がある。Windows 2000ではMSDTCがデフォルトで有効になっており、しかも匿名での接続を受け付けるため、この脆弱性の影響を最も受けやすい。実証コードは2005年11月27日と12月1日にそれぞれ1種類が公開されていた。

　今回検知報告のあったDasherは、SQL Serverを検索するツールに似せた名前でローカルに攻撃コードを保存し、BlackICEなどの侵入検知プログラムのプロセスを止め、レジストリを書き換えてセキュリティ状態を低いレベルへとコンピュータの動作状態を変更しようとする。その上で攻撃コードを脆弱性が存在するコンピュータに送り込んで増殖しようとする。すでに複数の亜種が検出されていることから、今後は、より危険度の高い亜種の登場が懸念される。

　またJPCERT/CCは、MSDTCの脆弱性が対象と推測されるTCP 1025番ポートへのスキャンが大幅に増加していることが観測されたと2005年12月12日に報告している。

• TCP 1025番ポートへのスキャンの増加に関する注意喚起

　MS05-051の修正プログラムを適用していれば、このワームには感染しないので、修正プログラムが未適用の場合は、早急に適用した方がよい。

■HotFix Report BBS関連スレッド

• MS05-051［緊急］：MSDTC および COM+ の脆弱性により、リモートでコードが実行される

　Inge Henriksen氏は、Windows XP用のInternet Information Services（IIS）5.1に、特定のリクエストを受け付けるとIISが再起動する脆弱性が存在することを報告した。

• Microsoft IIS Remote DoS .DLL Url exploit［英語］

　脆弱性が存在するのはWindows XP Professionalに含まれるIIS 5.1のみで、IISのコア・コンポーネントであるinetinfo.exeに問題があるという。IIS 5.1に対して「http://www.example.com/_vti_bin/.dll/%01/~1」のような文字列でリクエストすると、IISが再起動してサービス拒否状態になる。問題が発生するリクエストは、以下の形式である。

　マジックコードは「%01〜%1f」および「%3f」「"」「*」「:」「<」「>」で、マジックナンバーは「0〜9」だという。同氏の報告によれば、inetinfo.exeの内部的なカウンタが「0」になるような、正しく解釈できないリターン・コードをntdll.dllがIISに返すことにより、IISのクラッシュが起こるという。また同氏の報告では、この脆弱性はバッファ・オーバーフローを引き起こすものではないので、任意のコードが実行させられるものではないとしている。ただしセキュリティ・ベンダのDeterminaは、この脆弱性はリモートでコードの実行を許す危険性がある、と2005年12月20日に発行したアドバイザリで報告している。

• IIS Malformed URL DoS and Potential Code Execution Vulnerability［英語］

　現時点では、マイクロソフトからこの脆弱性を解消する修正プログラムは提供いない。すでに脆弱性を悪用するようなリクエストの文字列が簡単に作成できることから、サービス拒否攻撃に悪用される危険性が高い。Windows XP Professionalでインターネットに公開するWebサーバを構築している場合には、注意を要する。

■関連サイト

• Microsoft Internet Information Server 5.1 DLL Request Denial of Service Vulnerability［英語］（SecurityFocus）
• IIS 5.1 DoS exploit released［英語］（SANS Diary）

■HotFix Report BBS関連スレッド

• Windows XPのIIS 5.1がクラッシュする脆弱性

　Aviv Raff氏は、Firefox 1.0.5未満／Mozilla Suite 1.7.9未満に存在する「InstallVersion.compareTo()の脆弱性」に対する実証コードを2005年12月12日に公開した。

• Mozilla Firefox "InstallVersion.compareTo()" Remote Buffer Overflow Exploit［英語］（FrSIRT）

　InstallVersion.compareTo()の脆弱性は、文字列ではなくオブジェクトが渡された場合に、そのオブジェクトが検証されずに処理されることで、アクセス違反によりブラウザがクラッシュするというものだ。JavaScriptのオブジェクトを渡すことにより、インストラクション・ポインタが制御できることから、任意のコードを実行させられる危険性がある。

• Mozilla Foundation セキュリティアドバイザリ 2005-50（Mozilla Japan）

　公開された実証コードは、JavaScriptを埋め込んだHTMLである。このHTMLをFirefoxでブラウズすると、Firefoxがクラッシュする。実証コードは任意のコードを実行するものではないが、脆弱性自体は任意のコードが実行される可能性のある危険なものだ。

　このアドバイザリには、shutdown氏による別の実証コードについても記述されている。shutdown氏による実証コードも任意のコードを実行するものではないが、2種類の実証コードが公開されたことから、攻撃コードの登場も懸念される。脆弱性の対象となるFirefox 1.0.5未満／Mozilla Suite 1.7.9未満を利用している場合は、脆弱性の解消されているバージョンに更新した方がよい。

■関連サイト

• Mozilla underestimate vulnerability, yet again. Plus, Old vulnerability - New exploit［英語］

　マイクロソフトは、MS05-050（DirectShow の脆弱性により、リモートでコードが実行される）の修正プログラムの、インストーラの不具合を解消したバージョンを2005年12月14日にリリースした。

• Your computer may not be updated when you install one of the DirectX security updates that is associated with security bulletin MS05-050 on a computer running Windows Server 2003, Windows XP, or Windows 2000［英語］（MSKB 909596）

　公開当初のバージョンでは、例えばWindows 2000＋DirectX 8.x／9.0xの環境に対してDirectX 7.0用の修正プログラムを適用すると、ファイルが更新されないまま、修正プログラムの適用に成功したステータスになってしまう不具合が存在した。今回公開されたバージョンでは、インストーラがDirectXのバージョンをチェックし、異なるバージョンのDirectXが動作している環境に適用しようとすると警告が表示されるようになっている。すでにMS05-050の修正プログラムが正しく適用できている場合には、再インストールする必要はない。

■関連サイト

• DirectShow の脆弱性により、リモートでコードが実行される（マイクロソフト）

■［HotFix Report BBS関連スレッド

• MS05-050［緊急］：DirectShow の脆弱性により、リモートでコードが実行される

　マイクロソフトは、2005年2月9日にリリースしたMS05-011の修正プログラムを適用したことによって発生する不具合を解消する修正プログラムを、2005年12月16日に公開した。

• セキュリティ更新プログラム 885250 (MS05-011) のインストール後、Windows XP または Windows Server 2003 でネットワーク共有のサブフォルダの内容が表示されないことがある（MSKB 896427）

　MS05-011の修正プログラムを適用後、ネットワーク共有のサブフォルダの内容が表示できなくなる、という不具合が発生する場合があった。この不具合が起こるのは、MS05-011を適用しており、接続先のサーバで以下のレジストリの値に「1」が書き込んである場合である。該当する不具合が生じているなら、以下のレジストリ値を調べてから、修正プログラムを適用するとよいだろう。

対象OS	レジストリ・キー
Windows XP	HKEY_LOCAL_MACHINE\SYSTEMのCurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation
Windows Server 2003	HKEY_LOCAL_MACHINE\SYSTEMのCurrentControlSet\Services\lanmanserver \parameters\NoAliasingOnFileSystem
不具合を引き起こすレジストリの値
これらの値（DWORD型）に「1」が設定されていると（デフォルトは「0」）、ネットワーク共有のサブフォルダの内容が参照できない場合がある。

■HotFix Report BBS関連スレッド

• ネットワーク共有のサブフォルダを参照できない不具合を解消するための修正プログラムがリリース (KB896427)

　セキュリティ・ベンダのSecurityFocusは、Microsoft Excelにコードの実行を可能にする脆弱性がある、と2005年12月19日に報告した。

• Microsoft Excel Unspecified Memory Corruption Vulnerabilities［英語］

　報告によれば、Excelには2種類の不特定のメモリ破壊の脆弱性が存在するという。攻撃者によってこの脆弱性を悪用されると、ユーザーのコンピュータ上で任意のコードを実行させられてしまう。技術的な詳細は発表されていないが、すでに2種類の実証コードが公開されていること、加えてマイクロソフトから修正プログラムが提供されていないことから、実際の攻撃が懸念される。また、脆弱性の対象となるExcelのバージョンが広範に及ぶので、メールに添付されたExcelのデータ・ファイル（.xls）を不用意に開かない、といった注意が必要だろう。

■HotFix Report BBS関連スレッド

• MS Excelにコード実行を可能にする脆弱性

［マイクロソフト］

• Windows 自動更新 が Windows Server 2003-based または Windows XP ベースのコンピュータで更新をダウンロードしようとすると、アクセス違反エラーは、発生することがあります。［機械翻訳］（MSKB 910437）
  ＃Windows Update／Microsoft Updateを実行したり、自動更新を有効に設定したりすると、トランザクション・エラーが発生する不具合を解消する修正プログラム

• Office 2003 Service Pack 2 をインストールすると、期待どおり Office 2003 Web コンポーネントが更新されていません［機械翻訳］（MSKB 912427）

• Microsoft .NET Framework Version 2.0 再頒布可能パッケージ (x86)

• Microsoft .NET Framework 2.0 日本語 Language Pack (x86)

• Microsoft SQL Server 2005 Express Edition

• Office Outlook 2003 は、 Windows Server 2003 または Windows XP を実行しているコンピュータから Office Outlook 2003 の応答を停止することがあります。［機械翻訳］

• 累積修正パッケージは、 SQL Server 2000 Service Pack 4 ビルド 2162 が使用できます。［機械翻訳］（MSKB 904660）

［その他のベンダー］

• Firefox 1.5にサービス拒否攻撃を可能にする脆弱性

• トレンドマイクロ PC-Cillin Internet Securityに権限昇格の脆弱性

• トレンドマイクロServerProtectにバッファオーバーフローの脆弱性

• Citrix Program Neighborhoodに未チェックバッファの脆弱性