Windows HotFix Briefings
(2004年10月8日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/10/08

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[脆弱性]
ASP.NETサイトの認証をバイパスできる脆弱性

情報の内容 脆弱性情報
情報ソース マイクロソフト
報告日 2004/10/05
対象環境 Windows OS上でASP.NETを利用したサイトを公開しているサーバ

 Webアプリケーション・プラットフォームのASP.NETに脆弱性があり、ASP.NETベースのWebサイトにおいて、適切なアクセス権のない攻撃者にコンテンツが漏えいする危険があることがNTBugtraqでレポートされた。

 この件に関し、マイクロソフトが脆弱性を調査していることを公式に認めた。

 上記ページによれば、以下の各Windows OS上でASP.NET(すべてのバージョン)を実行してコンテンツを公開しているサーバが脆弱性の影響を受けるとしている。前バージョンのASPには影響しない。

  • Windows 2000 Professional
  • Windows 2000 Server
  • Windows XP Professional
  • Windows Server 2003

 この脆弱性を不正なリクエストによって攻撃することで、攻撃者は本来アクセス権を持たない保護されたコンテンツにアクセスできるようになる。情報漏えいにつながる脆弱性なので、特にインターネットなどに向けて不特定多数の利用者に対してコンテンツを公開しているサーバを運営している場合には注意が必要だ。

 現時点ではこの問題に対する修正プログラムは提供されていない。しかし次のサポート技術情報を参考にしてプログラム・コードを一部追加することで、脆弱性の影響を緩和できるとしている。

 
[攻撃情報]
JPEG処理の脆弱性(MS04-028)を攻撃するウイルスなどが多数報告

情報の内容

脆弱性の攻撃

情報ソース セキュリティ関連BBS、ウイルス対策ソフト・ベンダ・サイト、ほか
報告日
対象環境

 JPEG処理の脆弱性(MS04-028)を攻撃するJPEGファイルが、インターネット・ニュース・サイトやネット掲示板、インスタント・メッセージング(AOLインスタント・メッセンジャー)、メールの添付ファイルなどとして配布され始めた。脆弱性のあるシステムでこれらのJPEGファイルを開くと、攻撃者のWebサイトからプログラムが自動的にダウンロードされ、実行される。具体的な攻撃内容はさまざまで、バックドアを仕掛けて次の攻撃に備えるものや、第三者に対して不正なJPEGファイルにアクセスするURLをメッセージとして送付するものなど、さまざまな種類がある。

 アンダーグラウンドでは、攻撃用JPEGファイルを簡単に作成するツールなどが登場しており、安直な攻撃を後押ししている。例えば、攻撃用リモート・プログラムのURLをテキスト・ボックスで指定し、[Make]ボタンをクリックするだけで、攻撃用JPEGファイルを生成するものなどだ。このJPEGファイルをユーザーが開くと、設定したリモート・コードがダウンロードされて実行されるというわけだ。ダウンロードして実行するリモート・コードを開発するには一定の技術力が必要だが、攻撃用JPEGファイルをばらまくこと自体はだれでも実行可能な状態である。

 幸い、主要なウイルス対策ソフトウェアは攻撃用JPEGファイルを検出できる。MS04-028の修正プログラムを適用して脆弱性を排除するとともに、ウイルス対策ソフトウェアを正しく利用することが肝要である(拡張子が.JPGであるファイルも監視対象に設定するなど)。ただし次項で述べるように、MS04-028の脆弱性を持つDLLをシステムから根絶するのは容易でない。

 最新動向については以下のネット掲示板を参考にしていただきたい。

 
[ツール]
MS04-028の脆弱性を含むDLLを検出するツールが複数公開

情報の内容 脆弱性検出ツール
情報ソース インターネット・サイト
報告日 2004/09/22
対象環境

 MS04-028の脆弱性の原因となっているgdiplus.dllは再配布可能モジュールであるため、マイクロソフト製品だけでなく、サードパーティ製品などさまざまなソフトウェアとともに提供されている。これらのソフトウェアをインストールすると、脆弱性のあるgdiplus.dllがシステムにインストールされる可能性がある。基本的に、これらサードパーティ製品とともにインストールされたgdiplus.dllは、Windows Updateでは検出できない。従ってWindows Updateで修正プログラムを適用し、最新状態にするだけでは、MS04-028の脆弱性は根絶されない。

 アプリケーションのインストール・フォルダにgdiplus.dllがコピーされていれば、それを呼び出すのがだれかは自明である。しかし実際には、gdiplus.dllはWindowsのシステム・フォルダにコピーされたり、Windows XPで導入された共有アセンブリ・キャッシュ(%SystemRoot%\WinSxS)にコピーされたりするため、そのDLLをだれが呼び出すのか簡単には分からない。gdiplus.dllがファイル・システムに見つかったからといって、むやみにファイルを更新してしまうと、最悪の場合はそれを呼び出すアプリケーションの動作に悪影響を及ぼす可能性もある。またアプリケーションによっては、異なるバージョンのgdiplus.dllに変更されていると、アプリケーションに付属しているバージョンに書き戻してしまうものもあるようだ。

 正式には、各アプリケーション・ベンダの指示に従う必要があるのだが、自己責任で行うなら、DLL検出ツールを使ってファイル・システム内をスキャンし、修正済みのDLLに自分で更新することもできる。この作業を支援するスキャン・ツールなどがいくつかインターネットで公開された。

■GDIPlus.DLL Reporting Utility
 「GDIPlus.DLL Reporting Utility」はDynicity LLCが公開したツールで、ネットワーク内にある複数のコンピュータに対し、脆弱性のあるgdiplus.dllが含まれているかどうかをリモートからスキャンできる。検索対象のマシン名とドライブ名は、テキスト・ファイルとして記述しておく。複数のコンピュータから一括検索検索するには便利なツールだ。ただし実行には、対象コンピュータに対する管理者権限が必要である。

■GDI Scan
 「GDI Scan」は、SANSが公開したツールで、ローカル・コンピュータのハードディスクをスキャンして、脆弱性のあるDLLを検出する(「gdiplus.dll」以外にも、関連する「sxs.dll」「VGX.DLL」「mso.dll」「wsxs.dll」も検索する)。コマンドライン版とGUI版の2種類が用意されている。

■UpdateGDI+
 「UpdateGDI+」は片山誠一氏が開発したフリー・ソフトウェアで、脆弱性のあるgdiplus.dllを発見する機能に加え、それらを、用意した修正済みgdiplus.dllに置き換える機能を持つ。

 
[参考情報]
そのほかの参考情報

■Microsoft VMのインストールでエラーが発生する
 マイクロソフトが提供するJava仮想マシンのMicrosoft VMの最新版(Build 3810)は、Microsoft VMの未インストール環境に対してインストールしようとするとエラーが発生する。ただし、すでに旧版のMicrosoft VMがインストールされた状態であれば、追加インストールは可能である。また前バージョンのBuild 3805ではこの問題は生じない(Microsoft VM未インストール環境に対してもインストール可能)。

 Microsoft VMがインストールできない場合には、Sunが公開しているJava VMをダウンロードしてインストールできる(ダウンロード・ページ)。

■Virtual PC内のWindows XP SP2を高速化する
 ソフトウェアで仮想的にPC環境をシミュレートするVirtual PC 2004のゲストOSとしてインストールしたWindows XPにSP2を適用すると、動作が遅くなるという不具合がある。

 正式な解決手段は提供されていないが、自己責任で対応するなら、河端善博氏のブログで対策法が紹介されている。

 対策の内容は、Visual Server 2005評価版(英語版)を入手し、Virtual PC 2004の仮想マシンの追加機能をVisual Server 2005に付属のファイルで更新するというものだ。詳細な手順は上記ページをご覧いただきたい。

■SunがJ2SE 5.0正式版をリリース
 Sun MicrosystemsがJava 2 Standard Editionの最新版、J2SE 5.0正式版を公開した。従来のバージョンは1.4であり、本来であればバージョンは1.5.0になるところだが、最初の1を落として5.0になったとのことだ。

■RealPlayerに重大な脆弱性
 RealNetworks社が提供するマルチメディア・プレイヤー「RealPlayer」に、攻撃者によるリモート・コードの実行、ファイル削除などを可能にする重大な脆弱性が見つかり、脆弱性を解消したバージョンの提供が開始された。

■シマンテックのファイアウォール/VPN製品に重大な脆弱性
 シマンテックのレポートによれば、シマンテック社のファイアウォール/VPN製品に脆弱性があり、攻撃者によってサービス拒否攻撃やアクティブなサービスの特定、ファイアウォール設定の操作が可能になるとのことだ。対象製品は以下のとおり。

  • Symantec Firewall/VPN Appliance 100/200/200R
  • Symantec Gateway Security 320/360/360R

 米Symantec社のサイトで修正プログラムが提供されているので、対象製品の利用者は適用を検討すべきだ(修正プログラムは以下の米Symantecのページからアクセスできる)。

  
そのほかの不具合情報、追加情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間