Windows HotFix Briefings
(2005年7月8日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/07/08

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[脆弱性情報]
Internet ExplorerのJava関連DLLの読み込みにより、システムの制御権が奪われる脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ情報サイト、マイクロソフト
報告日 2005/06/29
CVE CAN-2005-2087
対象環境 IE 5.01/IE 5.5/IE 6

 セキュリティ・コンサルタント会社のSEC Consultは、Internet Explorer(IE)のCOMオブジェクト(ActiveXではないコンポーネント)のインスタンス化処理部分(COMオブジェクトのロードと初期化処理)に脆弱性があり、これを悪用することで、コンピュータのメモリの内容を破壊したり、改ざんしたりできる脆弱性があることを報告した。

 この脆弱性に対して、FrSIRTが実証コードを公開している(前記URL)。この実証コードは、マイクロソフト製Java仮想マシンであるMicrosoft Java VM(以下MSJVM)のJVIEWプロファイラ用のDLL(javaprxy.dll)をインスタンス化し、Nullポインタ参照の例外やメモリ破壊、ポインタ値の改ざんなどを実行する。システム破壊はもちろん、巧妙に悪用すれば、リモート・コード実行にも悪用することが可能である。ただし、このjavaprxy.dllの悪用は、MSJVMがインストールされている場合のみ可能で、MSJVMが組み込まれていないWindows XP SP1a/SP2、Windows Server 2003 SP未適用/SP1や、これ以外のWindowsバージョンでも、MSJVMを削除している場合には影響は受けない。

 これに対し米Microsoftは、2005年6月30日付けでセキュリティ・アドバイザリ(英文)を公開し、脆弱性の影響を受けるIEバージョン、脆弱性の概要、影響の回避方法などを公開した。またこれに続き、7月6日には、javaprxy.dllに対応するkillbit(キル・ビット:DLLのロードを禁止するビット)を有効化することで、このDLLをIEでロードしないようにする修正プログラムを公開した。

 ただしこれは、脆弱性を根本的に解消するものではなく、あくまで一時的に脆弱性を回避するためのものだ。また、この回避策はjavaprxy.dll以外のインスタンス化には有効ではなく、SEC Consultによればほかにも20個近いCOMオブジェクトに同様の脆弱性があるとしている。

■脆弱性の影響を回避するための修正プログラム

 この脆弱性の影響は、IE 5.0、IE 5.5から、最新のIE 6(Windows XP SP2、Windows Server 2003 SP1に含まれるIE 6を含む)まで、ほぼすべてのIEに影響が及ぶ。影響の大きな脆弱性なので、MSJVMを使用していないかを確認し、使用しているなら、上記の脆弱性回避用修正を適用するか、前出セキュリティ・アドバイザリのWorkarounds(回避方法)に記載された方法で対策を講じる必要がある。

 ちなみに、MSJVMを手動で削除する方法については、以下の記事が参考になる。

 
[ロールアップ修正情報]
Windows 2000 SP4 ロールアップ1が公開

情報の内容 ロールアップ更新情報
情報ソース マイクロソフト
報告日 2005/06/29
対象環境 Windows 2000

 マイクロソフトは、2005年6月29日、Windows 2000 SP4以後に公開されたセキュリティ修正プログラムや不具合修正をまとめたWindows 2000 SP4用ロールアップ1(Update Rollup 1:以下UR1)を公開し、ダウンロード・センターでの提供を開始した。

 UR1の概要、およびUR1に含まれるセキュリティ修正プログラム一覧は以下のサポート技術情報にまとめられている。

 UR1に含まれる不具合修正一覧は以下のサポート技術情報にまとめられている。

 UR1は、最新版SPであるSP4を適用したWindows 2000に対してのみ適用が可能である。Service Packでは、Windows 2000の初期出荷版(SP未適用版)以後のすべての修正が包含されており、どのSPバージョン(SP未適用版、SP1/SP2/SP3適用版)に対しても適用して最新の状態にできるが、UR1はこれとは異なるので注意が必要だ。Windows 2000 SP4より前のバージョンに適用するには、まずはSP4を適用してからUR1を適用する必要がある。

 なお、UR1の適用によって発生する不具合がマイクロソフトやソフトウェア・ベンダなどからいくつか報告されている。

 このほか、未確認ではあるが、セキュリティ関連BBSのHotFix ReoprtにもUR1の不具合に関する最新情報が投稿されている。

 適用により、既存アプリケーションとの互換性問題などが発生する危険もあるので、組織的な展開にあたっては、事前検証が不可欠だろう。今回のUR1は、Service Packではなく、あくまで1個の修正プログラムの扱いなので、自動更新のブロッキング・ツールなどは提供されない模様だ。今後、Windows Update/Microsoft Updateサイトや自動更新によってUR1が配布されることになるが、その場合でも適用を一時的にブロックするようなツールはない。Windows Updateをユーザーに実行させている場合には注意が必要である。

 
[最新ツール情報]
コンピュータへのパッチ適用状況、セキュリティ強度などを検査できる無償ツールの最新版、MBSA 2.0正式版が公開

情報の内容 最新ツール情報
情報ソース マイクロソフト
報告日 2005/07/02
対象環境 Windows 2000 SP3以降、Windows XP

 マイクロソフトは、2005年7月2日、コンピュータへのパッチの適用状況、パスワード強度などセキュリティ強度を診断できる無償ツールの新版、MBSA 2.0(Microsoft Baseline Security Analyzer)正式版を提供開始した。MBSAを利用すると、ネットワーク内にあるコンピュータをリモートから一括診断し、必要なパッチが未適用なコンピュータを探し出したり、セキュリティ強度の低いコンピュータを特定できたりする。

MBSA 2.0
リモートからコンピュータのパッチ適用状況やセキュリティ強度を診断できる。今回の2.0では、新しいWSUS対応、Microsoft Updateカタログ対応、ユーザー・インターフェイスの改良などが加えられた。

 マイクロソフトは、パッチ管理ソリューションとして、従来からSoftware Update Services(SUS)を提供していたが、SUSではパッチは適用できるものの、パッチ適用が本当に成功したかどうかを確認する術が事実上存在しなかった。従ってSUSユーザーは、SUSによって設定したパッチが正しくコンピュータに対して適用されたかどうかをMBSAで検査する必要があった。

MBSA 1.2(従来版)の詳細
MBSA 1.2(TIPS)
SUSの詳細
WSUS概要
WSUSの詳細

 先ごろ、SUSの後継として発表されたWSUS(Windows Update Services)では、レポート機能が大幅に強化され、クライアントに対するパッチの適用完了を確認できるようになった。しかしこれはクライアント・コンピュータからの定時レポートを集約したもので、そのコンピュータの現時点の情報ではない。MBSAを利用することで、現在の最新の状態を収集することができる。

 今回のMBSA 2.0では、従来版の1.2(およびその更新版である1.2.1)に比較してユーザー・インターフェイスの改良、Windows Updateエージェント新版(v6)への対応、新しいMicrosoft Updateカタログへの対応、対応プロダクトの自動拡張機能追加などが行われている。

 
[修正プログラム情報]
修正プログラム用インストーラをあらかじめWindows XPにインストールしておく修正プログラムが公開

情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日 2005/06/29
対象環境 Windows XP

 マイクロソフトは、2005年6月29日、修正プログラムのインストーラであるWindowsパッケージ・インストーラ(update.exe)をWindows XPに永続的に組み込むための修正プログラムを公開した。すでにWindows Update/Microsoft Updateや自動更新での配信が始まっている。

 udpate.exeは、マイクロソフトが提供する修正プログラムをWindowsにインストールする際に利用されるインストーラである。これまでは各修正プログラムのパッケージに含まれており、修正適用時に展開・実行されていた。つまりパッチをダウンロードするたび、結果的に同じパッケージ・インストーラが併せてダウンロードされていたわけだ。

 これに対し、今回公開された修正を適用すると、update.exe(Ver.6.1.22.4)がWindows OSに永続的に組み込まれる。今後はパッケージ・インストーラを含まない「高速インストール」版の修正プログラムが提供される予定だ。update.exeを永続インストールしている環境では、サイズの小さな高速インストール版の修正プログラムをダウンロードして適用できるようになる(ダウンロード時間が短縮できる)。

 
[最新ツール情報]
共用コンピュータの設定支援ツールのベータ版が公開

情報の内容 ツール情報
情報ソース マイクロソフト
報告日 2005/06/27
対象環境 Windows XP

 マイクロソフトは、2005年6月27日、ネット・カフェや会社の受付、学校や図書館など、不特定多数のユーザーで1台のコンピュータを共有するような場合に、不正使用や破壊防止のための設定を支援するツールのベータ版を公開した。これは“Shared Computer Toolkit for Windows XP”と呼ばれるツールで、Windows XPで使用できる。このツールを使うことで、Windowsシステム・フォルダやコントロール・パネルなどにアクセスできない制限ユーザー・アカウントを作成するなどが可能になる。

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間