Windows HotFix Briefings
(2005年4月15日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/04/15

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。

[月例セキュリティ情報]
マイクロソフト、4月度の月例セキュリティ情報を公開

 2005年4月13日、マイクロソフトは、4月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報は全部で8種類(MS05-016〜MS05-023)であり、このうち最も危険性の高い「緊急(1)」レベルが5個、次に危険性が高い「重要(2)」レベルが3つと、ほとんどが重大な脆弱性である。具体的には以下のとおり。

 このうちMS05-021のExchange Serverの脆弱性は、SMTPサービスに対する攻撃によってリモート・コード実行が可能になるというもので、攻撃被害のリスクが大きい。インターネット向けのメール・サーバなどとしてExchange Serverを利用している場合は注意が必要だ。特にExchange 2000 Serverでは、匿名攻撃が可能で(Exchange Server 2003では匿名攻撃は不可)、危険性が極めて高い。

 またMS05-019のTCP/IPの脆弱性も、いまやほとんどのWindowsコンピュータがインストールしているTCP/IPスタックに対するもので、万一ウイルスやワームなどに悪用された場合の影響が懸念される。さらにMS05-019が解消する1つの脆弱性(ICMPの脆弱性)は、Windowsだけでなく、TCP/IPネットワーク機能を持つほかのソフトウェア/ハードウェア製品(IBM AIX、Cisco/アライドテレシス社製ルータなど)についても影響が及ぶことが確認されている。

 TCP/IPでの通信処理を担っている自社のソフトウェア/ハードウェア製品について、ベンダの情報サイトなどにアクセスして、この脆弱性の影響がないか、回避方法の指示や修正プログラムの提供などが実施されていないかどうかを確認する必要があるだろう。

 これらの脆弱性に関する詳細情報は、あらためてHotFix Briefings ALERTとして4月19日付け記事として公開する予定である。


[修正プログラム情報]
重大な障害が発生していたWindows 98/98 SE/Me向けMS05-002修正プログラムを更新

情報の内容 修正プログラムの更新
情報ソース マイクロソフト
報告日 2005/04/13
対象環境 Windows 98/98 SE/Me

 2005年3月18日版の記事(関連記事)でお知らせしたとおり、Windows 98/98 SE/Me(以下Windows 9xと略)向けとして提供されたMS05-002(カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される)の修正プログラムの適用により、システムが起動不能になったり、システム・エラー(いわゆるブルー・スクリーン)が発生したりするという障害が多数報告されていた。

HotFix Briefings 2005年3月18日版

 編集部でテストした標準環境では障害を再現できなかったが、上記掲示板への投稿によれば、例えばプリンタ・ドライバの付属ツールのインストールによって障害発生が確認されたという。米国でのオンライン・コミュニティなどでもこの問題は大きく取り上げられており、障害はかなり広範に発生していた模様だ。

 これに対しマイクロソフトは、Windows 9x向けMS05-002の改訂版の修正プログラムを公開した。まだ少数だが、上記掲示板への投稿によれば、更新版の修正プログラムを適用したところ、障害発生しなくなったとのことである(この件に関する投稿メッセージ)。

 MS05-002は最も危険性の高い緊急レベルの脆弱性である。Windows 98/98 SE/Meのユーザーで、適用による障害発生を回避するためにパッチをアンインストールしたり、適用を見送ったりしていた場合には、更新版のパッチを入手して評価し、問題がなければできるだけ早期に適用すべきである。

 なお、このパッチはダウンロード・センターには登録されておらず、Windows Updateからのみ提供されている。従って適用にあたっては、適用対象のコンピュータから直接Windows Updateのサイトにアクセスするか、パッチのファイル自体を入手したければ、Windows Updateのカタログ機能をたどる必要がある。この方法については、以下の投稿が詳しい。


[脆弱性情報]
Office Outlook/OWAにアドレス詐称を可能にする脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ関連情報サイト
報告日 2005/04/09
対象環境 Outlook XP/Outlook 2003/Outlook Web Access

 Outlook XP、Outlook 2003およびWebブラウザでOutlook機能を利用可能にするOutlook Web Access(以下OWA)において、フィッシング詐欺などに簡単に悪用される可能性が高いアドレス詐称の脆弱性があることが、米国の複数のセキュリティ情報サイトで公表された。

 これらの情報によれば、Outlookは、メール・ヘッダの送信者情報として複数のアドレス情報を記載した場合でも、最初のアドレスしか表示しないという。例えば送信者アドレス・フィールド(From:フィールド)の記述が、

From: support@your.company, attacker <attacker@attackers.domain>

となっていても、Outlookのユーザー・インターフェイスでは、最初のsupport@your.companyしか表示されない。従って、第1のアドレスとして、コンピュータのベンダや金融機関、公共機関など、信頼性の高そうなドメインのメール・アドレスが記載されると、ユーザーにはそのメールがそれらの信頼できる機関から送信されたものに見える。クリックを促してアドレスの有効性を調査するような悪質なスパム・メールや、振り込め詐欺などに悪用される可能性もある。現時点では修正プログラムなどは公開されていない。必要ならユーザーへの注意喚起などを実施すべきだろう。


[Service Pack情報]
Windows Server 2003 SP1日本語版公開は4月19日

情報の内容 最新版Service Packの公開日
情報ソース マイクロソフト
報告日 2005/04/07
対象環境 Windows Server 2003

 2005年4月1日版の記事でご紹介したとおり、英語版とドイツ語版が公開され、日本語版の公開が待たれているWindows Server 2003 SP1だが、マイクロソフトは、2005年4月19日(火)より、Windows Updateおよびダウンロード・センターにて公開を開始すると発表した。

 本サイトでは、Windows Server 2003 SP1のレビュー記事をシリーズで公開している。Windows Server 2003 SP1の詳細については、そちらを参照していただきたい。


[運用管理情報]
(再告知)Windows XP SP2無効化ツールの有効期限が4月12日で終了

情報の内容 XP SP2の展開に関する補足情報
情報ソース マイクロソフト
報告日 2005/03/11
対象環境 Windows XP(SP2未適用)

 2005年3月18日版の記事でご紹介したとおり、2005年4月12日(火)をもって、Windows XP SP2(以下XP SP2)の適用をブロックするツールの有効期間が切れ、ブロック・ツールを適用したWindows XPコンピュータについても、Windows Updateや自動更新でのSP2の適用が実施されるようになった。ただしSP2のインストールは、ネットワーク・トラフィックやWindows Updateのサーバ負荷を分散させるため、ランダムに実施される。従って対象となるコンピュータがネットワーク内に複数存在する場合でも、それらに対していっせいにインストールされるのではなく、順次段階的にインストールが進む。

 ブロック機能の詳細については、以下の記事を参照されたい。

 すでに一部のコンピュータではXP SP2のインストールが進んでいる可能性があるが、さらにXP SP2のインストールを先延ばしにしたいと考えるなら、Windows Updateや自動更新に依存しないパッチ管理システム(SMS、SUS、サードパーティ製パッチ管理ツールなど)を導入する必要がある。あるいは必要であれば、グループ・ポリシーでWindows Updateを禁止することも可能だ。ただしこの方法では、XP SP2だけでなく、Windows Update自体が利用不可になる。Windows Updateに代わる何らかの対策を打たなければ、以後はすべての脆弱性が対策されずに放置されることになるので十分な注意が必要である。具体的な方法については、以下のマイクロソフト・サポート技術情報を参照されたい。


[脆弱性情報]
Jetデータベース・エンジンに未チェック・バッファの脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ関連情報サイト
報告日 2005/03/31
対象環境 Microsoft JET 2.0/2.5/3.0/3.5/3.51/3.51 SP3/4.0 SP1〜7

 セキュリティ関連情報サイトで公開された情報によれば、マイクロソフトの個人/小規模用途向け向けデータベース・ソフトウェアのAccessに搭載されるJETデータベース・エンジンに未チェック・バッファの脆弱性があり、攻撃者によるリモート・コード実行が可能だという。

 情報が公開された当初は、脆弱性を攻撃するための実証コードは確認されていなかったが、その後実証コードが公開され、攻撃が実行に移されるリスクが高まっている。

 Secuniaの情報によれば、最新版のAccess 2003をインストールし、公開済みパッチをすべて適用した環境、およびWindows XP SP2をインストールした環境でも脆弱性が確認されたとしている。

 この脆弱性を修正するパッチは、まだ公開されていない。攻撃は不正な.mdbファイル(Accessのデータベース・ファイル)をユーザーに開かせることで実行される。従ってAccessを利用している場合には、出所の不明な.mdbファイルを安易に開かぬようユーザーに警告する必要があるだろう。


[攻撃情報]
Windows Updateを偽装してトロイの木馬型プログラムをインストールさせる攻撃が発生

情報の内容 不正攻撃情報
情報ソース セキュリティ関連情報サイト
報告日 2005/04/09
対象環境

 米国のセキュリティ関連情報サイトによれば、マイクロソフトの名前を語りWindows Updateによる更新を促すメールをユーザーに送信し、ユーザーがこのリンクをクリックすると、Windows Updateそっくりの偽サイトに誘導し、そこでユーザーが「インストール」を選択すると、トロイの木馬型プログラムをインストールし、コンピュータにバックドアをしかけるという攻撃が発生している模様だ。

 WebSENSEのページにはWindows Updateそっくりの偽サイトの画像が公開されている。

 英語版の偽サイトなので、日本で被害が広がる可能性は小さいものと思われるが、万一攻撃を受けてバックドアが仕掛けられると、情報漏洩や別の攻撃にコンピュータが悪用される危険があるので注意が必要だ。特に、各ユーザーにWindows Updateによる更新をまかせている企業などではユーザーへの注意喚起を実施する必要があるだろう。


そのほかの不具合情報、追加情報

  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間