Windows HotFix Briefings
(2005年3月4日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/03/04

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。

[ツール情報]
SysinternalsがWindows版rootkitを検出する無償ツールを公開
情報の内容 セキュリティ関連ツール
情報ソース Sysinternals
報告日 2005/2/24
対象環境 Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003

 各種Windowsシステム管理ツールなどを無償公開しているSysinternalsが、クラッキング・ツールであるrootkitを検出する“RootkitRevealer”ツールを公開した。RootkitRevealerを使えば、Windowsシステムにrootkitが隠されていないかを検出できる。

 一時的なサービス拒否攻撃や、愉快犯的なWebコンテンツの改ざんなどと異なり、ほかのシステムを攻撃するための踏み台探しや、金銭目当ての情報窃取などでは、攻撃者はできる限りシステムを自由に操り、同時に侵入の痕跡を残さないようにするために、時間をかけてターゲットとなるシステムを調査する。この際には、対策されずに放置され悪用が可能なセキュリティ・ホールの調査、侵入路がふさがれた場合でも出入りできるようにするためのバックドアの設置、自身の活動を隠蔽するログ改ざんなどを実施する。

 こうしたクラッキングを効率的に実施するにはツールが必要だ。このためのクラッキング「七つ道具」のようなソフトウェア・ツール集を総称してrootkitと呼ぶ。アンダーグラウンドでは、さまざまなrootkitが開発され、インターネットからも入手可能になっている。

 一般にrootkitを使ったシステムの調査にはかなりの時間がかかるので、その間、rootkitが発見されないように隠しておく必要がある。具体的な手法はまちまちだが、例えばアプリケーションによるOSのAPI呼び出し(ディレクトリ一覧のAPIなど)を横取りして、rootkitのファイルが存在しないように見せかけるものや、カーネル内部のプロセス・テーブルを改変して、rootkitのプロセスの存在を隠蔽するものなどがある。

 RootkitRevealerは、このようなrootkitがシステムにインストールされていないかどうかを走査するツールだ。

 RootkitRevealerは、ウイルス対策ソフトウェアのようなパターンマッチ方式ではなく、Windowsシステムやファイル・システム内部の整合性などを検査することで、rootkitが存在する可能性を検査する。パターン・ファイルは不要なので、オフライン環境でも実行できるし、未知のrootkitでも検出できる可能性がある。Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003で実行が可能だ。ツールにはコマンドライン版とGUI版の2種類があり、用途や環境に応じて両者を使い分けられる。

RootkitRevealer
rootkitらしきプログラムがコンピュータに侵入していないかどうかを走査する。

 特に、インターネット向けにサービスを提供しているサーバ、常時稼働しているクライアントPCなどでは、定期的にこのツールを実行して、システムに不審な兆候がないかどうかをチェックするとよいだろう。ただしRootkitRevealerによる検出も完全ではない。米国のコミュニティなどでは、検出から漏れるrootkitが具体的に指摘されている。あくまでシステム防衛の1つの手段として捉えるべきである。

 
[不具合情報]
MS05-011を適用すると、Windows 9x上の共有フォルダにあるOfficeアプリケーション・ファイルを別名保存できなくなる
情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2005/2/22
対象環境 Windows 9X+Officeアプリケーション

 マイクロソフトによれば、MS05-011(サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される)の修正を適用したWindows 2000/Windows XPクライアント・コンピュータから、Windows 9x系OS(Windows 98/98 SE/Me)上の共有フォルダにあるファイルをOfficeアプリケーションで開き、別名で保存しようとすると、次のエラーが発生して保存できない不具合があることを公表した。

フォルダ ‘<共有フォルダ名>¥XXXXX.doc’ にアクセスできません。使用できない場所にフォルダがあるか、フォルダがパスワードで保護されているか、ファイル名に ”/” または ”¥” が含まれている可能性があります。

 この現象は、共有フォルダ上のファイルをOfficeアプリケーションで開き、別名保存を実行した場合にのみ発生する問題だとしている。従ってOfficeアプリケーション以外では発生しない。またOfficeアプリケーションであっても、別名保存ではなく、上書き保存や新規作成については問題がない。いったんローカル・マシンに別名保存してから、共有フォルダに移動することで、この不具合は回避可能だ。

 原稿執筆時点で修正プログラムは提供されていない。

 
[修正プログラム情報]
Windows XP SP2向けの重要な修正プログラムがWindows Updateなどで公開
情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日 2005/2/22
対象環境 Windows XP SP2

 マイクロソフトは、Windows XP SP2(以下XP SP2)に存在する以下の2つの不具合を修正するプログラムについて、Windows Updateと自動更新向けに提供を開始した。必要ならダウンロード・センターからも入手できる。

  1. Windows XP Service Pack 2 または Windows Server 2003 で Stop エラー "Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)" が表示される(MSKB887742)

  2. Windows XP 上の Internet Explorer で Shift-JIS 文字エンコードを使用する Web サイトを参照すると、2 バイト文字セット (DBCS) 文字が正しく表示されない場合がある(MSKB886677)

 1.は、IIS 6.0のカーネルモード・ドライバであるhttp.sysにバグがあり、TDI(Transport Driver Interface)フィルタを追加したときに、場合によってスタックを破壊してしまい、ブルー・スクリーンになってしまうという問題である。この問題については、2004年12月3日版のHotFix Briefingsでお知らせした(関連記事の「XP SP2のHttp.sysにある不具合を修正するプログラムが公開」の見出し部分を参照)。TDIフィルタは、ウイルス対策ソフトやファイアウォール関連ソフトウェアなどを追加すると新たに組み込まれる場合がある。

Windows HotFix Briefings 2004年12月3日版

 2.についても、同じく2004年12月3日版のHotFix Briefingsでお知らせしている(関連記事の「XP SP2を適用し、Shift-JISでエンコードされたWebページをIEで表示すると2バイト文字が正しく表示されない」の見出し部分を参照)。XP SP2のIEにおいて、Shift-JIS形式でエンコードされたWebページを表示すると、2バイト文字(漢字など)が一部文字化けするなどの不具合が生じるというもの。

 従来はダウンロード・センターからの入手のみだったが、今回Windows Updateと自動更新に追加され、簡単に適用できるようになった。

 
[最新情報]
MS05-006の対象環境にSharePoint Portal Server 2003/SBS 2003を追加
情報の内容 対象OS/アプリケーションの追加
情報ソース マイクロソフト
報告日 2005/2/16
対象環境 SharePoint Portal Server 2003、Small Business Server 2003

 2005年2月9日付けのマイクロソフトの月例修正プログラム公開日に公開され、以下の2月16日版HotFix Briefings ALERTでもお伝えしたMS05-006(SharePoint ServicesおよびSharePoint Team Servicesの脆弱性により、クロスサイト スクリプティングおよびなりすましの攻撃が行われる)に対して、脆弱性の対象ソフトウェアが当初の情報から追加された。

HotFix Briefings ALERT 2005年2月16日版

 当初のセキュリティ情報では、脆弱性の対象ソフトウェアはWindows Server 2003向けに無償提供されているWindows SharePoint Services(WSS)と、Office XP向けに提供されているSharePoint Team Servicesのみで、エンタープライズ・ポータル向けのサーバ・ソフトウェア製品であるSharePoint Portal Server(SPS)は影響を受けないと明記されていた。上記HotFix Briefings ALERTの記事でも、その旨をお知らせした。

 しかしSPSは、ベース・テクノロジとしてWSSを利用し、その上で統合検索機能やシングル・サインオンなどのエンタープライズ向け機能を提供する製品であり、実際にはWSSの脆弱性の影響を受ける(SPS 2003製品には、WSSが含まれている)。このためマイクロソフトは、当初の情報を修正し、SharePoint Portal Server 2003もMS05-006の影響を受けるソフトウェアとして追加した。

 また、Windows Server 2003を含む中小事業者向け統合パッケージのSmall Business Server 2003(SBS 2003)についても、内部にWSSが含まれており、脆弱性の影響を受けることから、こちらもMS05-006の対象ソフトウェアに追加している。

 SharePoint Portal Server 2003やSBS 2003を利用している場合は、MS05-006の修正プログラムについて再確認が必要である。

 
[最新SP情報]
ISA Server 2004 Standard Edition SP1が公開
情報の内容 SP情報
情報ソース マイクロソフト
報告日 2005/2/28
対象環境 ISA Server 2004 Standard Edition

 マイクロソフトは、ファイアウォールWeb Proxy製品として2004年8月より発売しているInternet Security and Acceleration Server 2004(ISA Server 2004) Standard Edition向けのService Pack 1(SP1)を公開した。以下のページからダウンロードできる。

製品レビュー ISA Server 2004

 ISA Server 2004については、エンタープライズ機能を強化したEnterprise Editionが先ごろ発表されたところだ。上記ページの解説によれば、今回のSP1により以下の点が強化、改善されるという。

  • ISA Server 2004 Standard Editionのコード・フィックス後に公開されたすべての修正プログラムの追加

  • マイクロソフトの製品サポートへの問い合わせに対応した非公開の修正プログラムの追加

  • ISA Serverのサービス、管理ツールの安定性の向上

 ファイアウォール/Web Proxyでは、万一SP1の適用による不具合が発生した場合、外部との通信が遮断されてしまうなど影響が大きいので、SP1の評価と適用計画などは慎重に吟味する必要がある。だが、上記のように多くの不具合が修正されているため、ISA Server 2004 Standard Editionを利用しているなら、SP1の適用準備を開始すべきだ。

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間