Windows HotFix Briefings
(2005年10月7日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/10/07

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[SP情報]
Office 2003 SP2が提供開始
情報の内容 SP情報
情報ソース マイクロソフト
報告日 2005/09/28
対象環境 Office 2003、Windows SharePoint Services、OneNote 2003、Visio 2003、Project 2003、Office Home Style+、InterConnect 2004

 マイクロソフトは、Office 2003に対するサービスパック「Office 2003 SP2」の提供を開始した。同時に、下記Office System製品へのSP2の提供も開始した。各SP2モジュールは以下の一覧の通りである。


製品名 サポート技術情報 ダウンロード先
Office 2003 SP2 887616
Windows SharePoint Services SP2 887624
OneNote 2003 SP2 887619
Visio 2003 SP2 887622
Project 2003 SP2 887620
Microsoft Office Home Style+ SP2
InterConnect 2004 SP2 887614

 Office 2003 SP2は、Office 2003 SP1を包含しているので、まだSP1を適用していないなら、今回のSP2だけを適用すればよい 。

 Office 2003 SP2では新たに、「Outlook迷惑メール・フィルタ」と組み合わせて使用するフィッシング詐欺防止機能が追加された。これらを併用することにより、電子メールを悪用した個人情報窃取のリスクを低減できるとしている。最新の「Outlook迷惑メール・フィルタ」がインストールされた環境にOffice 2003 SP2を適用すると、このフィッシング詐欺防止機能が自動的に有効になる。

 名刺管理など、個人向けビジネス・コンタクト管理支援製品であるInterConnect 2004 SP2では、Outlookのメッセージ・フォームに名刺の添付や保存のためのボタンが追加されるなどの新機能も追加されている。

 ただしマイクロソフトは、Windowsインストーラ Ver.3.0を使用している場合に、Office 2003 SP2のインストールに失敗する現象を報告しているので適用時には注意すること。この問題を回避するには、Windowsインストーラを最新バージョン(3.1 v2)に更新してからOffice 2003 SP2を適用する。

 例えば、Windows XP(SPなし、SP1、SP2のいずれか)とOffice 2003 SP1をインストールした直後に、(Windows Updateサイトからリンクされている)[Officeのアップデート]を選んで実行しても、この制限により、Office 2003 SP2のインストール作業が失敗することがある。これを解決する簡単な方法は、(Windows Updateの後継である)Microsoft Updateを実行・インストールすることである。するとWindowsインストーラがVer.3.1に更新される。なおWindowsインストーラのバージョンは、[スタート]メニューの[ファイル名を指定して実行]で「msiexec」と入力して、引数なしで実行すると確認できる。バージョン表記が「V 3.01.XXXX.XXXX(Xは任意の数字)」ならばVer.3.1である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Internet Explorerのオブジェクト処理の脆弱性により、認証情報などが漏えいする危険性

情報の内容 脆弱性情報
情報ソース Amit Klein氏、Secunia
報告日 2005/09/24
CVE
対象環境 Internet Explorer 6.x

 AKsecurityのAmit Klein氏は、IEのXmlHttpRequestオブジェクト処理に脆弱性が存在することを報告した。この脆弱性により、リファラ詐称(直前に見ていたWebページのアドレスを改ざんすることにより、掲示板システムなどにスパムメッセージを投稿し続ける攻撃)や、HTTPリクエスト・スマグリング攻撃(HTTPプロキシに本来のページ内容とは異なるURL情報をキャッシュし、悪用しようとする攻撃)などを受ける危険性がある。XmlHttpRequestオブジェクトは、Google Mapsの実装技術などとして現在注目されているAJAX(Asynchronous JavaScript And Xml:エイジャックス)のコア・コンポーネントである。

枯れた新しいUI革命「Ajax」をASP.NETで活用する

 具体的には、Microsoft.XMLHTTPというActiveXコントロールのopen( )ファンクションがHTTPリクエストの内容を十分に検証していないために起こる。タブや改行コードにより細工したHTTPリクエストをこのActiveXコントロールに処理させることで攻撃が可能だとされる。このため、HTTPプロキシがタブや改行コードを含んだHTTPリクエストを許容しない場合は影響を受けない。

 現在のところ、マイクロソフトは、この脆弱性に対する正式な報告や修正プログラムは提供していない。ただしセキュリティ情報サイトで詳細な報告がなされていることから、この脆弱性が悪用される危険性が高まっている。信頼できるサイトだけに接続する、コンテンツ・フィルタリングで信頼できるサイト以外への通信を拒否するなど、運用レベルでの注意を要する。

■関連情報

 
[ツール情報]
マイクロソフト、Winnyを介して広まるウイルスに対応した駆除ツールを公開へ

情報の内容 ツール情報
情報ソース マイクロソフト
報告日 2005/08/19
対象環境 Windows 2000/XP/Server 2003

 マイクロソフトが毎月無償公開している「悪意のあるソフトウェアの削除ツール」の10月公開版(10月12日公開予定)では、P2Pソフト「Winny」を媒介して感染を広げているウイルス「Antinny」に対応し、これを検出/削除できるようにする、とマイクロソフトは10月4日に開催されたSecurity Summit 2005 Fallで発表した。「悪意のあるソフトウェアの削除ツール」は、代表的なウイルスやワームを検出/削除するためのツールである。これまでツールでは、マイクロソフト製品に感染するウイルスのみを対象としてきたが、マイクロソフト以外の製品に感染するウイルスに対応するのは今回が初めて。公開後はWindows Updateやダウンロード・センターなどから入手して利用できる。なお10月12日には、マイクロソフトの月例セキュリティ更新も公開される予定だ。

 Antinnyは、PCの中のフォルダを勝手にWinnyの公開フォルダにするなどしてアップロードしてしまうウイルスで、亜種も確認されている。ただし本ツールでAntinny(あるいはその亜種)を検出/駆除するには、Antinnyが動作しているときに「悪意のあるソフトウェアの削除ツール」を実行した場合だけである。「悪意のあるソフトウェアの削除ツール」は、主に個人ユーザーを対象に、あくまで最悪の事態を回避するための補助ツールである。本格的なウイルス対策ソフトウェアを導入しておくことが望ましい。

■関連サイト

■HotFix Report BBS関連スレッド

 
[不具合修正]
Firefox/Mozilla Browserの脆弱性の修正版1.0.7が提供開始

情報の内容 不具合修正
情報ソース Mozilla.org
報告日 2005/09/22
対象環境 Mozilla Firefox 1.0.7未満、Mozilla Suite 1.7.12未満

 Mozilla Foundationは、ブラウザFirefoxとFirefoxを含むMozilla Suiteの既知の脆弱性および不具合を修正したMozilla Firefox 1.0.7とMozilla Suite 1.7.12を公開した。修正された脆弱性と不具合は以下の通り。

 MFSA2005-58として報告されている修正内容にはIEのXMLHttpRequestオブジェクトの脆弱性(前述)と同様の問題のほか、スペース文字で終わるXBM形式の画像を処理する際にバッファ・オーバーランを起こす、JavaScriptの整数値がオーバーフローを起こす、スキーマの処理の脆弱性により特権昇格が起こる、スタート・ページなどに使われるChromeウィンドウが乗っ取られる、といったセキュリティ的な問題も含まれる。

■参考情報

■HotFix Report BBS関連スレッド

 
[ツール情報]
セキュリティ・レベルを診断する「マイクロソフト セキュリティ アセスメント ツール」が公開

情報の内容 ツール情報
情報ソース マイクロソフト
報告日 2005/09/28
対象環境 Windows 2000/XP、Internet Explorer 6、.NET Framework 1.1

 マイクロソフトは、セキュリティによるビジネス上のリスクを診断するツール「Microsoft Security Assessment Tool Version 2.0(インターナショナル版)」を公開した。これは、「中規模企業のためのセキュリティ リスク自己診断ツール」として以前公開されていた無償ツールのバージョン・アップ版に位置付けられるもののようだ。

 このツールは、従業員1000人未満の組織を対象に、現在のITセキュリティ状況を自己評価し、弱点を整理した上で、セキュリティ向上のプランニングやリスク低減策を管理者が計画するための指針を提供することを目的としている。ツールをインストールするには、.NET Framework 1.1が必要である。

 ツールを起動すると、一連の質問が表示され、これらに選択肢から答えていくことで結果が得られる。結果は「アプリケーション」、「人的要素」などのカテゴリごとに採点される。ただし自己評価を目的としたツールなので、MBSA(Microsoft Baseline Security Analyzer)のようにマシン個々の状態をスキャンする、といった技術的な処理は行わない。

■関連記事

■[HotFix Report BBS関連スレッド

 
[SP情報]
Windows SharePoint Services SP2が提供開始

情報の内容 SP情報
情報ソース マイクロソフト
報告日 2005/09/29
対象環境 Windows Server 2003、Windows SharePoint Services

 マイクロソフトは、Windows SharePoint Services SP2の提供を開始した。SP2では、SP1およびSP1公開以後に公開された既知の不具合と多数の未報告の不具合などが修正されている。

 ただし、このSP2をインストールする際に発生する可能性のある問題、注意点が2つ報告されている。適用の前に目をとおしておこう。

■HotFix Report BBS関連スレッド

  
[不具合情報]
Lotus Notesで添付ファイルが正しく生成されない

情報の内容 不具合情報
情報ソース 日本アイ・ビー・エム
報告日 2005/09/16
対象環境 Lotus Notesクライアント 6.0.0〜6.0.3/6.5.0

 日本アイ・ビー・エムは、特定の条件の下でLotus Notesクライアントの特定のバージョンにおいてドラッグ&ドロップに不具合があることを発表した。具体的には、文書にファイルをドラッグ&ドロップで添付し、そのファイルを削除した場合に、実際には添付ファイルが文書に残留してしまうという。このようにして作成した文書をインターネットで送信した場合、意図しないファイルを送信してしまい、結果として外部に機密情報が漏えする危険性がある。同社では、削除されているはずの添付書類を含む文書があるかを検出するためのツールを公開している。

■関連サイト

 
[不具合修正]
「Windows 2000 SP4 UR1環境でOfficeからFDDに書き込むと応答が停止する」の不具合を解消する修正プログラムが公開

情報の内容 不具合修正
情報ソース マイクロソフト
報告日 2005/09/22
対象環境 Windows 2000 SP4 UR1、Office

 マイクロソフトは、Windows 2000 SP4更新プログラム ロールアップ1(以下UR1)環境で、Officeからフロッピー・ディスクに文書を保存しようとすると応答が停止する不具合に対する修正プログラムの提供を開始した。

HotFix Briefings 7月8日版
HotFix Briefings 7月22日版
HotFix Briefings 9月23日版

 UR1は、初期版が2005年6月29日にリリースされたものの、多数の不具合が報告されていた。Officeアプリケーションでフロッピー・ディスクに直接保存できない、という問題もその1つだった。修正プログラムは以下のページから入手できる。修正プログラムの適用を有効にするには、インストール後にシステムの再起動が必要である。

 ただし、Windows 2000 SP4 UR1の更新版(v2)として9月13日に公開されたバージョンには、この修正が包含されている。従ってv2をすでにインストールしているなら、この修正を単独で適用する必要はない。

 そのほかにも、UR1の不具合として「マイ・コンピュータのドライブのアイコンにファイルをドロップできない」というものもあるが、こちらの修正プログラムについてはマイクロソフトに直接問い合わせる必要がある。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
シマンテック、ウイルス検出エンジンのバッファ・オーバーフローの脆弱性を公表

情報の内容 脆弱性情報
情報ソース シマンテック
報告日 2005/10/04
CVE CAN-2005-2758
対象環境 Symantec AntiVirus Scan Engine 4.0/4.3、同for ISA 4.0/4.3、同for Netapp Filer 4.0、同for Messaging 4.3、同for Netapp NetCache 4.0、同for Bluecoat 4.0、同for Caching 4.3、同for Microsoft SharePoint 4.3、同for Clearswift 4.0/4.3

 シマンテックは、「Symantec AntiVirus Scan Engine」にバッファ・オーバーフローの脆弱性があることを公表した。Symantec AntiVirus Scan Engineは、サードパーティが、Symantecの検出エンジンを外部から呼び出し、利用するためのWebサービス・インターフェイスを提供している。これにバッファ・オーバーフローの脆弱性があり、悪用されると攻撃者によってリモート・コードがシステム権限で実行される危険がある。

 問題は、このWebサービスによるHTTPリクエストの検証が不十分であるために起こる。細工されたHTTPリクエストを処理すると、管理用ポートが開いてしまい、任意のコードを実行される危険を招く。

 シマンテックは、この脆弱性を解消する各製品向けのアップデート・モジュールを公開している(上記ページより入手可能)。対象製品の利用者は、これらを早期に適用したほうがよい。また同社では、アップデート・モジュールを適用できない場合には、信用できるアドレス以外からのTCP 8004番ポートへの着信を拒否するなどの回避策を紹介している。

■関連サイト

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
シマンテック、VERITAS Storage Execのバッファ・オーバーフローの脆弱性を公表

情報の内容 脆弱性情報
情報ソース シマンテック
報告日 2005/10/04
CVE CAN-2005-2996
対象環境 Storage Exec 5.3 rev.2190R以前、StorageCentral 5.2 rev.322以前

 シマンテックは、「VERITAS Storage Exec」のDCOMサーバにバッファ・オーバーフローの脆弱性があることを公表した。

 この脆弱性が悪用されると、ログオン・ユーザーの権限でファイルがダウンロードされ、実行されてしまう。

 同社では修正プログラムの適用を推奨しているが、もし適用できない場合には、最小限のユーザー権限で製品を動作させる、ファイアウォールなどを適切に運用する、信頼できるサイトにのみ接続する、といった運用レベルでの対策を推奨している。

■関連サイト

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間