Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル3個を含む計6個のセキュリティ修正が公開

―― Windows 2000ユーザーは緊急対策が必要 ――

DA Lab Windowsセキュリティ
2005/08/16

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2005年8月10日、以下の6個(MS05-038〜043)の脆弱性情報を公表し、修正プログラムの提供を開始した。6個のうち3個の最大深刻度は、最も緊急性の高い「緊急」レベルである。一部の脆弱性については、すでに実証コードが公開されたり、脆弱性を悪用するワームが確認されたりしている。至急に適用作業を開始する必要がある。

MS05-038896727
Internet Explorer 用の累積的なセキュリティ更新プログラム

最大深刻度 緊急
報告日 2005/08/10
MS Security# MS05-038
MSKB# 896727
対象環境 IE 5.01 SP4、IE 5.5 SP2、IE 6 SP1、IE 6
再起動 必要
HotFix Report
BBSスレッド
MS05-038

セキュリティ・ホールの概要と影響度

 Internet Explorer(IE)のJPEGイメージ処理、WebDAVのURL解釈、COMオブジェクトのインスタンス化処理部分の脆弱性を解消する。これらが攻撃されると、最悪の場合はリモート・コードが実行され、コンピュータが攻撃者によって制御されてしまう危険がある。特に、Webやメール参照用として利用しているクライアント・コンピュータは攻撃の影響を受ける危険性が高い。早期に修正を適用しよう。

 JPEGイメージ処理の脆弱性(CAN-2005-1988)は、IEがJPEGイメージ・ファイルを処理するために使用しているライブラリに未チェックバッファがあり、攻撃者によって細工されたJPEGイメージをIEで表示しようとすると、画像に組み込まれた任意のコードが実行されてしまう。すでにこの脆弱性を実証するための画像がインターネットで公開されている。攻撃用画像をWebページやHTMLメールなどに配置することで簡単に攻撃できてしまうので注意が必要だ。

 WebDAVの脆弱性(CAN-2005-1989)は、IEのクロスドメイン・セキュリティ・モデルで正しく検証されないことが原因で、情報漏えいやリモート・コード実行が可能になるというもの。WebページからWebDAVを使用したWebフォルダを表示するとき、特定のURLを解釈するプロセスに脆弱性がある。ただしこの脆弱性を悪用した攻撃を実行するには、攻撃用Webサイトを準備し、ユーザーにこれをアクセスさせるとともに、確認ダイアログなどをユーザーに操作させる(処理を続行させる)必要がある。この脆弱性攻撃に限ったことではないが、ユーザーに対して不明な確認ダイアログが表示された場合には、むやみに処理を続行しないように注意しておく必要があるだろう。

 COMオブジェクトのインスタンス化処理部分の脆弱性(CAN-2005-1990)は、IEがCOMオブジェクト(ActiveXでないCOMオブジェクト)をインスタンス化する部分に脆弱性があり、攻撃者のリモート・コードが実行されるというもの。この脆弱性のうち一部については、すでにMS05-037(JViewプロファイラの脆弱性によりリモートでコードが実行される)として、7月の月例セキュリティ修正公開日に修正プログラムが公開されている。このMS05-037は、脆弱性確認用として公開された実証コードが例として使用していたCOMオブジェクト、JViewプロファイラ(javaprxy.dll)を使用不能にするために、このオブジェクト向けのキルビット(ActiveXコントロールを実行不可にするための設定情報)を設定するものだった。

 しかし脆弱性の悪用は、javaprxy.dll以外でも可能である。今回のMS05-038では、javaprxy.dllを含め、脆弱性の悪用に利用される恐れのあるCOMオブジェクト40種類のキルビットを設定する。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 5.5 SP2 Windows Me
Internet Explorer 6 SP1 Windows 98/98SE/Me
Internet Explorer 6 SP1 Windows 2000 SP4、Windows XP SP1/SP1a
Internet Explorer 6 Windows Server 2003 SP未適用/SP1
Internet Explorer 6 Windows XP SP2
 
MS05-039899588
プラグ・アンド・プレイの脆弱性により、リモート・コードが実行される

最大深刻度 緊急
報告日 2005/08/10
MS Security# MS05-039
MSKB# 899588
対象環境 Windows 2000、Windows XP、Windows Server 2003
再起動 必要
HotFix Report
BBSスレッド
MS05-039

セキュリティ・ホールの概要と影響度

 Windows 2000、Windows XP、Windows Server 2003のプラグ・アンド・プレイ・サービスに未チェック・バッファの脆弱性(CAN-2005-1983)があり、攻撃によってリモート・コードが実行されたり、権限の昇格が発生したりする。いずれのOSも影響を受けるが、特に危険性が高いのはWindows 2000で、匿名でのリモート攻撃が可能である(Windows XPおよびWindows Server 2003では匿名ユーザーでのリモート攻撃は不可能)。

 すでにこの脆弱性を確認するための実証コードがFrSIRTより公開されている。

 さらに8月15日には、この脆弱性を悪用して繁殖するコンピュータ・ワーム、Win32/Zotob.Aが確認された。

 このように、すでに脆弱性に対する攻撃が開始されている。特にWindows 2000を利用している場合には、一刻も早く修正プログラムを適用するか、攻撃の回避策を実施しなければならない。MS05-039のセキュリティ情報によれば、リモート攻撃では、接続開始時点でTCPのポート139番と445番が使用される。外部とのファイアウォールでこれらのポートをブロックすれば、インターネットからの攻撃保護が可能だ。ただし脆弱性を放置せず、Windows 2000だけでなくWindows XPやWindows Server 2003を含めて、早期の修正プログラム適用が必要である。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
MS05-040893756
テレフォニー サービスの脆弱性により、リモートでコードが実行される

最大深刻度 重要
報告日 2005/08/10
MS Security# MS05-040
MSKB# 893756
対象環境 Windows 2000、Windows XP、Windows Server 2003
再起動 必要
HotFix Report
BBSスレッド
MS05-040

セキュリティ・ホールの概要と影響度

 Windows 2000、Windows XP、Windows Server 2003のテレフォニー・サービスに未チェックバッファの脆弱性(CAN-2005-0058)が存在し、攻撃者のリモート・コードが実行される。これらすべてのOSが脆弱性の影響を受けるが、クライアント向けOS(Windows 2000 ProおよびWindows XP)では、特権の昇格が可能になるだけで、リモート・コードは実行される危険はない。

 危険性が高いのは、テレフォニー・サーバ機能を持つサーバOS(Windows 2000 ServerおよびWindows Server 2003)である。特に危険なのはWindows 2000 Serverで、匿名でのリモート攻撃が可能である(Windows Server 2003のテレフォニー・サーバ機能は、匿名ユーザーからのアクセスを許可しない)。

 テレフォニー・サービスは、アプリケーションに対してTAPI(Telephony API)を提供するためのサービスで、TAPIを使うアプリケーション(ダイヤルアップVPN、音声通話、ビデオ・カンファレンス、ボイス・メールなど)を利用すると、サービスが自動的に開始されている可能性が高い。上記の理由から、Windows 2000 Serverで、TAPI利用の可能性があるアプリケーションを追加インストールして使用している場合には、サービスの稼働状況をすぐに調査し、サービスが稼動しているようなら、すぐに修正プログラムを適用するか、さもなければテレフォニー・サービスを無効にして、攻撃の影響を回避したうえで、修正プログラムの適用準備を進めるべきだ。もちろん、そのほかのOSについても、できるだけ早期の修正プログラム適用が必要だ。

 なお、MS05-040の脆弱性は、Windows 98、98SE、Meにも存在するが、緊急レベルではないため、これらのOS向けの修正プログラムは提供されない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
MS05-041899591
リモート・デスクトップ・プロトコルの脆弱性により、サービス拒否が起こる

最大深刻度 警告
報告日 2005/08/10
MS Security# MS05-041
MSKB# 899591
対象環境 Windows 2000 Server、Windows XP、Windows Server 2003
再起動 必要
HotFix Report
BBSスレッド
MS05-041

セキュリティ・ホールの概要と影響度

 Windows 2000 Server、Windows XP、Windows Server 2003のリモート・デスクトップ・プロトコル(RDP:Remote Desktop Protocol)の処理部分に脆弱性(CAN-2005-1218)があり、サービス拒否攻撃(DoS攻撃)を受ける危険がある。攻撃用RDPパケットを受信すると、コンピュータが異常終了する。リモート・コード実行に比較すれば危険性は低いが、匿名でのリモート攻撃が可能である。

 RDPプロトコルは、リモート・デスクトップやターミナル・サービスで使用されている。リモート・デスクトップは、標準状態では有効化されていないため、デフォルトの状態では攻撃されない。ただし非常に便利な機能なので、ユーザーが自身で有効化している可能性がある。

 特に攻撃が懸念されるのは、Windows 2000 ServerやWindows Server 2003のサーバOSでターミナル・サービスを提供している場合だ(ターミナル・サービスもデフォルトでは無効)。これらのサーバを運用している場合は、早期に修正プログラムを適用すべきだ。すぐに修正を適用できない場合には、ターミナル・サービスの接続開始時に使用されるTCPのポート3389番に対する外部からのアクセスをファイアウォールでブロックする。もちろん、このポートをデフォルトの3389番から変更している場合は、3389番ではなく、そのポートをブロックする必要がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 Server SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
MS05-042899587
Kerberosの脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる

最大深刻度 警告
報告日 2005/08/10
MS Security# MS05-042
MSKB# 899587
対象環境 Windows 2000、Windows XP、Windows Server 2003
再起動 必要
HotFix Report
BBSスレッド
MS05-042

セキュリティ・ホールの概要と影響度

 Windows 2000、Windows XP、Windows Server 2003のコンピュータがドメイン・コントローラとの認証に利用するKerberosの処理に2つの脆弱性があり、攻撃者によるサービス拒否攻撃や情報窃取が可能になる。

 1つはKerberosの脆弱性(CAN-2005-1981)と呼ばれているもので、ドメイン・コントローラによるKerberosメッセージの処理部分に脆弱性があり、不正なKerberosメッセージをドメイン・コントローラが受け取ると、ドメイン・コントローラの応答が停止し、サーバが自動的に再起動するまで、ドメイン・コントローラによる認証処理の応答が停止してしまう。この間、クライアント・コンピュータは、ドメインにログオンできなくなる。

 もう1つはPKINITの脆弱性(CAN-2005-1982)と呼ばれているもので、これを悪用すると、クライアントとサーバ間でやりとりされる情報が第三者に窃取されたり、クライアントからは正しいサーバにアクセスしているように見えながら、実際には攻撃者のサーバにアクセスしていたという「なりすまし攻撃」が可能になったりする。PKINITはPublic Key Cryptography for Initial Authentication in Kerberosの略で、クライアント・コンピュータからのログオン時にスマート・カードを使用する場合に使用されるプロトコルである。従ってこの脆弱性の影響を受けるのは、ドメイン認証にスマート・カードを使用している場合である。

 いずれの脆弱性にせよ、攻撃には有効なログオン資格が必要であり、匿名での攻撃は実行できないので、危険性はそれほど高くないと考えられる。適当な時期をみて修正プログラムを適用しよう。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
MS05-043896423
印刷スプーラの脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2005/08/10
MS Security# MS05-043
MSKB# 896423
対象環境 Windows 2000、Windows XP、Windows Server 2003
再起動 必要
HotFix Report
BBSスレッド
MS05-043

セキュリティ・ホールの概要と影響度

 Windows 2000、Windows XP、Windows Server 2003の印刷スプーラ・サービス(spoolsv.exe)に未チェック・バッファの脆弱性(CAN-2005-1984)が存在し、攻撃者によるリモート・コードが実行される危険性がある。特に危険性が高いのは、Windows 2000およびWindows XP SP1のコンピュータである。これらのコンピュータでは、攻撃者による匿名攻撃が可能だ(Windows XP SP2やWindows Server 2003では匿名攻撃は不可)。これらのOSを利用している場合には、すぐに修正プログラムを適用するか、さもなければ、コントロール・パネルでスプーラ・サービス(Print Spooler)を停止する必要がある。

 ただし、Windows XP SP2やWindows Server 2003でも、この脆弱性の悪用によってサービス拒否攻撃が可能である。リモート・コード実行によるシステムの掌握に比較すれば影響は小さいが、早期の修正プログラム適用を実施すべきだ。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH