Windows HotFix Briefings
(2005年3月18日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/03/18

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[脆弱性情報]
Windows 2000 Advanced ServerではMS05-010の脆弱性に対する匿名攻撃が可能

情報の内容 脆弱性によるリスクの更新
情報ソース セキュリティ関連情報サイト
報告日 2005/3/16
対象環境 Windows 2000 Advanced Server

 Windowsサーバ製品に含まれるライセンス・ログ・サービス向けの緊急レベルの脆弱性として2005年2月9日に報告されたMS05-010について、従来は除外されていた条件でも攻撃が可能なことがImmunity社によって明らかにされた。

HotFix Briefings ALERT(MS05-010)

 Immunity社が公開したレポートは、以下のURLで参照可能である。

 MS05-010のセキュリティ情報では、Windows 2000 SP4環境でこの脆弱性を含むライセンス・ログ・サービスに接続できるのは認証ユーザーのみで、匿名ユーザーは接続できないと明記している。この原稿の執筆時点でも、表記は変わっていなかった。

Windows 2000 Server Service Pack 4 および Windows Server 2003 では、認証されたユーザーまたはプログラムのみがライセンス ログ サービスとの通信を確立することができます。

MS05-010の「『ライセンス ログ サービスの脆弱性』のよく寄せられる質問 - CAN-2005-0050」の「どのような人物によりこの脆弱性が悪用される可能性がありますか?」より引用

 しかしImmunity社の調査によれば、Windows 2000 Advanced Serverについては、問題のサービスに匿名ユーザーでも接続可能だという。SP4を適用済みでも、Windows 2000 Advanced Serverを利用している場合には、匿名ユーザーによる攻撃の可能性がある。対象OSのユーザーで、まだMS05-010を適用していない場合には、リスクについて再検討する必要がある。

 
[修正プログラム情報]
MS05-002、MS05-015のWindows 9x向け修正が提供開始。MS05-002では重大な障害報告が多数

情報の内容 修正プログラムの公開
情報ソース マイクロソフト
報告日 2005/3/9
対象環境 Windows 98/98 SE/Me

 マイクロソフトは、緊急レベルのため修正プログラムを提供すると予告していたWindows 9x(Windows 98、98 SE、Me)向けのMS05-002とMS05-015の修正プログラムを、2005年3月9日よりWindows Updateで公開した。

HotFix Briefings ALERT(MS05-002)
HotFix Briefings ALERT(MS05-015)

 すでにWindows 98/98 SE/Meはサポート対象外だが、「緊急」レベルの脆弱性については修正プログラムを提供するという方針に沿った措置である。いずれも攻撃を受けると影響の大きな脆弱性なので、対象OS(Windows 9x)のユーザーがいる場合には適用準備を開始する必要がある。

 ウイルス対策ソフトウェア・ベンダであるPanda Software社によれば、MS05-002の脆弱性を悪用するアドウェア(Searchmeup)が確認されたとのことだ。

 ただし修正プログラムが提供されるのはWindows Updateのみで、ダウンロード・センターからは入手できない。修正プログラムのインストール用ファイルを入手するには、Windows Updateの管理者オプションからWindows Updateカタログをクリックし、対象OSとして「Windows 98 and Windows 98 Second Edition」を選択し、目的のファイルをダウンロードする(Windows XPの場合)。

■MS05-002の適用による障害報告が多数
 セキュリティ情報BBSのHotFix Report BBSなどにおいて、MS05-002をWindows 98/98 SE/Meに適用すると、システムが起動不能になったり、システム・エラー(いわゆるブルー・スクリーン)が発生したりするという障害が多数報告されている。適用にあたっては、事前にこれらの障害情報に目を通しておく必要がある。

 適用によって障害が発生してしまった場合には、セーフモードで起動し、修正プログラムをアンインストールすればよい。

 DA Labで、Windows 98 SEに対して修正プログラムの適用テストを実施したが、報告のような障害は発生しなかった。報告の数からいって、発生頻度はかなり高いものと思われるが、何らかの条件が重なったときに発生しているようである。DA Labで調査したところ、MS05-002のWindows 9x向けの修正プログラムは、システムのDLLファイルなどを置き換えるのではなく、“KB891711.EXE”というプログラムがOSの起動時に常駐し、脆弱性を回避しているようだ。原稿執筆時点では、マイクロソフトからの正式な発表はない。

 
[脆弱性情報]
Windows Server 2003/Windows XP SP2にLAND攻撃を可能にする脆弱性

情報の内容 脆弱性
情報ソース セキュリティ情報サイト
報告日 2005/3/5
対象環境 Windows XP SP2/Windows Server 2003

 Dejan Levaja氏 のセキュリティ情報メーリング・リスト「Bugtraq」への報告によれば、Windows Server 2003とWindows XP SP2でLAND攻撃が可能な脆弱性が発見された。これらのOSがLAND攻撃によるパケットを受信すると、CPU占有率が100%に達して、システムが反応しなくなるという。サービス拒否攻撃に悪用される危険がある。

 LAND攻撃は古典的なサービス拒否攻撃の1つで、1997年に報告され、すでに多くのOSで対策が行われている。過去のものと思われていた脆弱性が、最新版のOSにも残っていたという格好だ。コンピュータがインターネットに直接接続されている場合には、この攻撃を受ける可能性がある。特に、Windows Server 2003でWebサーバを運用している場合などは注意が必要だろう。

 現時点では、マイクロソフトからこの脆弱性に対する正式な発表や修正プログラムの提供は行われていない。攻撃を回避するには、ファイアウォールを導入して攻撃用パケットを遮断するように設定する。Windows XP SP2を利用している場合は、Windowsファイアウォールを有効にすることで回避が可能である。

 
[運用管理情報]
Windows XP SP2無効化ツールの有効期限が4月12日で予定通り終了

情報の内容 XP SP2の展開に関する補足情報
情報ソース マイクロソフト
報告日 2005/3/11
対象環境 Windows XP(SP2未適用)

 マイクロソフトは、企業の管理者などがWindows XP SP2(以下XP SP2)の適用準備を終えるまで、Windows Updateや自動更新(Auto Update)での自動配信を一時的に無効化するツールを提供していた。このツールの適用抑止期間が、予定通り2005年4月12日で終了すると発表した。

 当初この無効化ツールでは、遮断期間を2004年12月14日までの120日間としていたが、その後2005年4月12日までの240日間に延長されていた。今回の発表は、この期間の再延長がないことを告知するものである。

 無効化ツールを利用して、適用を先延ばしにしている場合でも、4月12日を過ぎるとWindows Updateでの手動インストールが可能になり、順次自動更新(Auto Update)によりXP SP2の適用が実行される(自動更新を有効化している場合)。いまなおXP SP2の検証途中という場合には、無効化ツール以外の方法でこれらを禁止する必要がある。

 
[参考情報]
脆弱性の対象外であるFrontPage 2002にMS05-006を適用する理由を公表

情報の内容 修正プログラムの追加情報
情報ソース マイクロソフト
報告日 2005/3/3
対象環境 FrontPage 2002

 マイクロソフトはMS05-006(Windows SharePoint ServicesおよびSharePoint Team Servicesの脆弱性により、クロスサイト スクリプティングおよびなりすましの攻撃が行われる)のセキュリティ情報を更新し、FrontPage 2002を脆弱性の対象外として明記した。ただしFrontPage 2002がインストールされたコンピュータでOffice Updateを実行すると、MS05-006の修正プログラムであるKB890829がリストアップされ、適用を促される。

 これは、KB890829には、MS05-006の脆弱性の修正だけでなく、トルコ・リラの表示機能に関するバグの修正が含まれているからである。FrontPage 2002自体には脆弱性はないが、トルコ・リラのバグを修正する必要はあるということだ。トルコ・リラを使用しないなら、Office Updateの表示を無視して修正を適用しなくても問題はない。

 
[ツール情報]
脆弱性情報をグラフィカルに表示するVisio Connector for MBSAの提供を開始

情報の内容 最新ツールの提供
情報ソース マイクロソフト
報告日 2005/3/15
対象環境 Visio 2003

 マイクロソフトは、脆弱性のスキャンツールとして無償提供しているMicrosoft Baseline Security Analyzer(MBSA)でのスキャン結果をVisio 2003でグラフィカルに表示可能にするツール「Microsoft Office Visio 2003 Connector for the Microsoft Baseline Security Analyzer(MBSA)」の評価版を提供開始した。

 このツールを利用すれば、MBSAによるスキャン結果をベースに、脆弱性の色別の特定、結果の詳細と解決策、対応策の優先順位付けなどをVisio 2003で描いたネットワーク図上でグラフィカルに表示できるようになる。ただし実行にはVisio 2003(有償製品)とMBSA(無償)の双方が必要だ。

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間