Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル8件含む12件のセキュリティ修正が公開(1/3)

―― 実証コード公開の報告あり ――

DA Lab Windowsセキュリティ
2006/06/20
Page1 Page2 Page3

 
本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。
 
お知らせこのHotFix Briefingsでは、各種脆弱性や不具合を隔週でお知らせする通常版に加え、月例修正直後に、公開された修正プログラム情報をお届けするALERT版を公開してまいりましたが、今回より、通常版とALERT版の内容を1つにし、マイクロソフトの月例修正が公開される直後の月曜日(第3月曜日)に月1回のペースで記事を公開することになりました。ご了承ください。

 マイクロソフトは、月例の修正プログラム公開日である2006年6月14日に、MS06-021〜032の合計12件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は最も緊急性の高い「緊急」レベルが8件と「重要」が3件、「警告」が1件である。詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものもあり、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[修正プログラム情報]MS06-021916281
Internet Explorer用の累積的なセキュリティ更新プログラム

最大深刻度 緊急
報告日 2006/06/14
MS Security# MS06-021
MSKB# 916281
対象環境 Internet Explorer 5.01 SP4、Internet Explorer 6 SP未適用/SP1
再起動 必要
HotFix Report BBSスレッド MS06-021

セキュリティ・ホールの概要と影響度

 MS06-021の修正プログラムは、メモリ破壊が起こる脆弱性など、Internet Explorer(IE)に存在する8種類の脆弱性を解消する。この修正プログラムはMS06-013の修正を含む。またセキュリティ修正に加え、ActiveXコントロールの挙動を変更するMSKB 912945の修正内容を含むので、ActiveXコントロールを利用した業務アプリケーションの挙動が変わる可能性があり、注意が必要だ。

HotFix ALERT(2006年4月18日版)
HotFix Briefings(2006年4月14日版)
HotFix Briefings(2006年3月31日版)
HotFix Briefings(2006年3月10日版)

 MS06-021の修正プログラムにより解消される脆弱性は、CVE-2006-2218CVE-2006-2382CVE-2006-2383CVE-2006-1303CVE-2005-4089CVE-2006-2384CVE-2006-2385CVE-2006-1626の8件である。このうち、<OBJECT>タグを大量に入れ子構造にするとメモリ破損が起こる脆弱性(CVE-2006-2218)や、細工された文書をCSSと誤認識して解釈する脆弱性(CVE-2005-4089)、.swfファイル(Flashコンテンツ)をロードする前後で異なるURLのページを開かせるとアドレス・バーを偽装できる脆弱性(CVE-2006-1626)は、詳細な技術情報だけでなく実証コードが公開されている。これらの脆弱性により、IEを異常終了させられたり、任意のコードが実行されたり、フィッシング・サイトに誘導されたりする危険性があるので、早急に修正プログラムを適用する必要がある。

 また、Windows XP SP2およびWindows Server 2003 SP1にMS06-021の修正プログラムを適用すると、ActiveXコントロールを呼び出す際の処理が変更される(関連記事参照)。この変更により、従来ではWebページに埋め込まれたFlashコンテンツなどで、ユーザーが1度クリックしないと機能しないようになる。これはMS06-013の修正プログラムにも含まれる仕様変更だが、MS06-013に対して上記変更を無効にする互換性修正プログラムが提供されていた。

 MS06-021の修正プログラムを適用することにより、MSKB 917425で従来どおりのActiveXコントロールの挙動に戻していた環境でも、ユーザーによる1クリックが必要となり、MSKB 917425の効果が失われる。そして、今回は互換性修正プログラムが提供されず、この仕様変更は元に戻せない。

 ただし、ActiveXコントロールの呼び出し方法を変更することにより、FlashコンテンツなどをWebページに埋め込んでも、従来どおりの挙動で動作させることが可能となる。Webページの記述方法などについては、以下の情報を参照していただきたい。

 MS06-021の修正プログラムを適用すると、ActiveXコントロールの仕様変更以外にもいくつかの仕様変更が適用される。まず、JScriptを利用したWebアプリケーションなどが動作しなくなる可能性がある。これはJScriptの脆弱性をIEから排除するように仕様が修正されたためである。次に、AOLで使われるART形式の画像をIEがサポートしなくなる。

 また、MS06-021の修正プログラムを適用すると、MS06-013を適用した際と同様、以下のような不具合が発生することが報告されている。これら既知の不具合が業務に影響を及ぼさないよう、修正プログラムを展開する前に検証した方がよいだろう。

  • Windows Media High Definition Video DVD(HD DVD)で再生できないチャプタが生じる。

  • ActiveXコントロールがIEに正常に読み込まれないことがある。

  • 独自のActiveXコントロールを含むWebページが、IEで正常に読み込まれないことがある。

  • IEでモニカ(Moniker)が使用できなくなる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。また、MS06-021の修正プログラムの適用にあたっては、ロールアップ修正プログラムが自動判別で適用される。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 98/98SE/Me
Internet Explorer 6 SP1 Windows 2000 SP4、Windows XP SP1/SP1a
Internet Explorer 6 Windows Server 2003 SP未適用/SP1/R2
Internet Explorer 6 Windows XP SP2
 
[修正プログラム情報]MS06-022918439
ART の画像表示の脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2006/06/14
MS Security# MS06-022
MSKB# 918439
対象環境 Windows 98/98SE/Me、Windows 2000/XP、Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-022

セキュリティ・ホールの概要と影響度

 MS06-022の修正プログラムは、ART形式と呼ばれる画像の処理に存在する脆弱性を解消する。ART形式とは、ISPであるAOLのクライアント・アプリケーションで使われる独自形式の画像フォーマットである。

 Windows XPおよびWindows Server 2003には、このART画像を処理してレンダリングするためのライブラリがデフォルトでインストールされており、Internet Explorer(IE)でもART形式の画像の表示が可能である。Windows 2000はデフォルトではART形式の画像をサポートしないが、マイクロソフトが提供している「Windows 2000 AOL Image Support Update」をインストールすることにより表示できるようになる。このためWindows 2000では、「Windows 2000 AOL Image Support Update」をインストールした環境で、MS06-022の脆弱性の影響を受ける。

 MS06-021を適用するとIEでのART形式画像の表示が不可能となるが、MS06-022の修正プログラムはMS06-021の修正プログラムと併せて適用する方がよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE/Me Windows 98/98SE/Me+IE 6 SP1
Windows 2000 Windows 2000 SP4+Windows 2000 AOL Image Support Update+IE 5.01 SP4/IE 6 SP1
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2
 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  緊急レベル8件含む12件のセキュリティ修正が公開(1/3)
    緊急レベル8件含む12件のセキュリティ修正が公開(2/3)
    緊急レベル8件含む12件のセキュリティ修正が公開(3/3)
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間