Windows HotFix Briefings
(2005年11月11日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/11/11

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。

[月例セキュリティ情報]
マイクロソフト、11月度の月例セキュリティ情報を公開

情報の内容 月例セキュリティ情報
情報ソース マイクロソフト
報告日 2005/11/09
対象環境 Windows 2000 SP4、Windows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1

 2005年11月9日、マイクロソフトは11月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報は1個(MS05-053)で、最大深刻度は緊急レベルとなっている。

 Graphics Rendering Engine(画像描画エンジン)がWindowsメタファイル(WMF)や拡張メタファイル(EMF)をレンダリングする過程に未チェック・バッファの脆弱性が存在する。細工されたWMF形式やEMF形式の画像を表示すると、画像ファイルに埋め込まれたコードが実行され、最悪の場合、悪意ある攻撃者によってコンピュータを完全に制御される危険性がある。画像掲示板にアップロードされた画像やメール添付の画像を表示することにより、攻撃される可能性がある。マイクロソフトによれば、攻撃例は確認できていないとしているが、一部の脆弱性に対する実証コードが確認されていることや脆弱性を発見したeEye Digital Securityが詳細な技術情報を公開していることから、この脆弱性が攻撃に利用される危険性が高まっている。早急に修正プログラムを適用した方がよい。


[脆弱性情報]
Macromedia Flash Playerで任意のコードが実行可能になる脆弱性の存在

情報の内容 脆弱性情報
情報ソース セキュリティベンダ
報告日 2005/11/04
対象環境 Flash Player 7.0.19.0以前

 eEye Digital Securityは、Macromedia Flash Player 6および7に配列の境界条件を適切に検証しない脆弱性が存在し、任意のコードが実行される危険性があることを報告した。

 細工されたSWF形式のファイル(Flashのデータ・ファイル)を再生すると、それに含まれるコードが実行されてしまう。eEye Digital Securityによれば、ヒープ・メモリ上に特定のデータを格納することにより、攻撃者がInternet Explorer上でこの脆弱性を悪用できるという。実証コードや攻撃サイトは確認されていないが、詳細な技術情報が公開されていることから、攻撃の危険性が高まっている。マクロメディアは、この脆弱性を解消したFlash Player 8.0.22.0をリリースしている。Flash Playerを利用している場合には、早急にバージョンアップした方がよい。

■関連サイト


[攻撃情報]
MS05-039/048の脆弱性を悪用した攻撃を確認

情報の内容 攻撃情報
情報ソース セキュリティベンダ
報告日 2005/10/18、2005/10/23

 セキュリティベンダのF-SecureとMcAfeeは、MS05-039の脆弱性を悪用する「Mocbot」を検出したことを、2005年10月23日に報告した。MS05-047の修正プログラムはMS05-039の脆弱性の内容が似ていたことから、一報ではMS05-047の脆弱性を突くと発表されたが、以下のセキュリティベンダの報告では修正されており、Mocbot.AはMS05-039の脆弱性を悪用するとのことだ。

 Mocbotは、Windows 2000/XPのプラグ・アンド・プレイ・サービスの脆弱性を悪用する攻撃用パケットを送信し、脆弱性の存在するシステムに感染する。その後、IRCサーバに接続して攻撃者の命令を待機し、攻撃者の指示によりDoS攻撃(サービス拒否攻撃)や感染拡大を行う。今回の情報はMS05-039を突くバックドア「Mocbot」のものだが、MS05-047の脆弱性を突く実証コードが複数公開されており、MS05-047を悪用するプログラムの登場も懸念される。

 トレンドマイクロは、MS05-048の脆弱性を悪用するJavaScriptが埋め込まれたWebサイトを発見した、と2005年10月18日に報告した。

 MS05-048の脆弱性は、メールを容易に作成・変更できるように用意されているCOMコンポーネントのCollaboration Data Objects(CDO)に、未チェック・バッファが存在するという脆弱性だ。同社の報告によれば、2つのサイトで脆弱性を悪用するJavaScriptを発見したという。まだMS05-048を適用していないなら、早期に適用した方がよいだろう。

■HotFix Report BBS関連スレッド


[不具合情報]
MS05-052の修正プログラムを適用すると日立製作所の「CommuniNet Object Server」が正しく動作しなくなる

情報の内容 不具合情報
情報ソース 日立製作所
報告日 2005/10/18
対象環境 CommuniNet Object Server 01-00〜02-05-/A、Windows 2000/XP/Server 2003

 日立製作所は、クライアントPCにMS05-052の修正プログラム(IEの累積的な更新プログラム)を適用すると、同社の端末エミュレータ「CommuniNet Object Server」が、オンライン端末や環境設定が正しく動作しなくなる不具合を発生すると報告した。

 CommuniNet Object Serverは、Webブラウザ上からメインフレームへのオンライン接続を行う端末エミュレータ製品である。MS05-052の修正プログラムを適用すると、オンライン端末が起動しない、環境を設定しようとしても端末情報の設定ダイアログが表示されない、という現象を引き起こす可能性があるとしている。オンライン端末や環境設定を使用しないサーバ側コンピュータは問題なく動作するという。

 この問題を回避するには、サーバをCommuniNet Object Server 02-06にバージョンアップするか、クライアント側コンピュータでInternet Explorerの[セキュリティ]タブで[信頼済みサイト]にCommuniNet Object Serverで運用しているURLを追加すればよい。

■HotFix Report BBS関連スレッド


[不具合情報]
Windows 2000でMS05-050の修正プログラムを正しく適用できない

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2005/10/21
対象環境 Windows 2000 SP4

 マイクロソフトは、2005年10月12日にリリースしたMS05-050の修正プログラムが、Windows 2000 SP4に正しく適用できない不具合があることを2005年10月21日に公表した。

 MS05-050の修正プログラムは、動画や音声などを利用するためのAPIを提供するDirectShowが、AVI形式のファイルを再生する際にメッセージの長さを検証する方法を変更する。MS05-050では、DirectXのバージョンごとに、Windows 2000 SP4用として3種類の修正プログラムが用意されている。Windows UpdateおよびMicrosoft Updateで修正プログラムを適用した場合には、自動的にDirectXのバージョンが検出されるため正常に適用される。だが、ダウンロード・センターなどから手動で入手した修正プログラムをインストールする場合、ユーザーが誤ってシステムのDirectXバージョンと合致しない修正プログラムを適用しても、一見正常に終了してしまう。しかし実際には、MS05-050の脆弱性の対象となる「quartz.dll」が置き換わらず、脆弱性は修正されないままとなる。

 正しく修正プログラムが適用されると、脆弱性の対象となるquartz.dllは以下のバージョンへ更新される。また、正しく修正プログラムが適用されれば、Windows UpdateおよびMicrosoft Updateを実行した場合に、「Windows 2000 用セキュリティ更新プログラム (KB904706)」「Windows 2000 用 DirectX 8 のセキュリティ更新プログラム (KB904706)」「Windows 2000 用 DirectX 9 のセキュリティ更新プログラム (KB904706)」のいずれも表示されない。

DirectXバージョン ファイル・バージョン
DirectX 7.0 6.1.9.732
DirectX 8.x 6.3.1.889
DirectX 9.x 6.5.1.907

■関連サイト

■HotFix Report BBS関連スレッド


[不具合情報]
MS05-052を適用すると発生する不具合2件が報告

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2005/11/08
対象環境 MS05-052の適用

 マイクロソフトは、MS05-052の修正プログラム(IEの累積的な更新プログラム)をコンピュータに適用すると、一部の環境でActiveXコントロールのロードに失敗するようになる不具合が発生する、と報告した。

 原因は、MS05-052の修正を適用することにより、IEのセキュリティ構成が一部変更されるためだ。不具合が発生した場合には、上記サポート情報を参照し、レジストリなどを変更すれば不具合を回避できる。


[不具合情報]
ソニー製音楽CDのコピー・コントロール機能がrootkitを組み込む

情報の内容 不具合情報
情報ソース Mark Russinovich氏
報告日 2005/10/31

 Windows向け無償ツールの提供元として著名なSysinternalsを運営し、テクニカル・ライターとしても活躍しているMark Russinovich氏が、ソニー製音楽CDに含まれるコピー・コントロール用のプログラムがrootkitのような作りになっており、さまざまな問題の原因になり得る、とブログで発表して波紋を呼んだ。

TIPS:クラッキングを手助けする“Rootkit”ツールを検出する

 同氏の解析によれば、ソニー製音楽CDに付属する専用プレーヤ・ソフトウェアがWindows APIのサービス・テーブルを書き換えたり、フィルタ・ドライバをRootkit的な手法でCDドライブにインストールしたりしてしまう、という。困ったことに、原因となっているプログラムは自身を隠蔽するために、簡単には見つけられず、削除もできない。音楽CDが原因なので、企業ユーザーへの影響は限定的だと思われるが、結果は重大なので注意は必要だろう。

■HotFix Report BBS関連スレッド


[不具合情報]
Norton AntiVirus 2006をインストールすると、秘文で作成した暗号ファイルを扱えなくなる

情報の内容 不具合情報
情報ソース 日立ソフトウェアエンジニアリング、シマンテック
報告日 2005/10/18
対象環境 秘文、Norton AntiVirus 2006

 日立ソフトウェアエンジニアリングは、シマンテック製「Norton AntiVirus 2006」をインストールすると、同社のファイル暗号化ソフトウェア「秘文」シリーズでの暗号化/複号化機能が正しく動作せず、暗号ファイルが破壊される可能性がある、と発表した。

 対象となる製品は、秘文AE Information Cypher、同Information Share、秘文/Enterprise、秘文/SAFE Personalの全バージョン。上記ソフトウェアがインストールされ環境に、シマンテック製Norton AntiVirus 2006/Internet Security 2006/SystemWorks 2006/System Works 2006 Premierのいずれかをインストールすると問題が起こる。具体的には、秘文フォーマット済みドライブ、または共有秘密フォルダ、ローカル機密フォルダ内の暗号ファイルにアクセスすると、不具合が発生するという。

 シマンテック社は、この不具合を解消するためのサポート情報を2005年10月30日に発表した。

■HotFix Report BBS関連スレッド


[不具合修正情報]
Windows Server 2003で共有されているファイル検索にIndex Serviceが利用されない

情報の内容 不具合修正情報
情報ソース マイクロソフト
報告日 2005/11/04
対象環境 Windows Server 2003 SP未適用/SP1

 マイクロソフトは、Windows Server 2003で共有されているファイルをクライアントPCから検索する際に、Index Serviceが利用されないという不具合があることを報告し、この不具合を修正するプログラムの配布を2005年11月4日に開始した。

 この不具合は、インデックスが最新でない場合に、Windows Indexing Serviceが使われないことにより起こるという。修正プログラムは、Windows Server 2003のx86版とx64版のみで、Itanium(IA64)版はまだ用意されていない。

■HotFix Report BBS関連スレッド


[修正プログラム情報]
MS05-043をWindows 2000 SP4更新ロールアップ1システムに適用すると、ネットワーク・プリンタへの印刷時にエラーが発生する

情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日 2005/10/19
対象環境 Windows 2000 SP4更新ロールアップ1とMS05-043適用済み

 マイクロソフトは、Windows 2000 SP4に更新ロールアップ1とMS05-043の修正プログラムを適用した環境で、ネットワーク・プリンタへの印刷時にエラーが発生する不具合を明らかにし、それに対する修正プログラムを公開した。

 この問題は、Windows 2000 SP4にMSKB 891861の更新ロールアップ1を適用した環境から、Lexmark製、デル製、IBM製のいずれかのネットワーク・プリンタに出力すると発生する。更新ロールアップ1には2つのバージョンがあるが、どちらで問題が起こるのかは明記されていない。DA Labでの検証によれば、このMSKB 908506の修正プログラムで更新されるファイルは、更新ロールアップ1 v2で更新されるファイルに含まれていない。このことから、更新ロールアップ1のバージョンに関わらず生じる問題と推察される。なお、この修正プログラムを適用しても不具合が解消されない場合は、クライアントPCでいったんプリンタを削除し、ネットワーク・プリンタを再インストールする必要があるとのことだ。

■HotFix Report BBS関連スレッド


[脆弱性情報]
複数のウイルス対策ソフトウェアの検疫をウイルスが通過してしまう

情報の内容 脆弱性情報
情報ソース Andrey Bayora氏
報告日 2005/10/25

 SecurityElf.orgを運営するAndrey Bayora氏が、複数のウイルス対策ソフトウェアにおいて、細工されたウイルスやワームが検疫を通過してしまう脆弱性が存在することを報告した。

 同氏の解析によると、多くのウイルス対策ソフトウェアは、検出速度を上げるために最初にファイル・タイプを調べ、ファイル・タイプごとにウイルス/ワームの有無を検査する仕組みになっているという。そのため、ファイル・タイプを偽装するような「マジック・バイト」を仕込むことにより、ウイルス対策ソフトウェアの検出を通過できるようだ。ファイル・タイプは、例えば実行形式(PEファイル)であれば先頭2bytesは「MZ」となっているが、これを別の「ZZ」に変更することにより、多くのウイルス対策ソフトウェアは検出しなくなるとしている。

 どのウイルス対策ソフトウェアにこの脆弱性があるかは、以下の記事に詳述されているが、同氏が試した結果であり、すべてのソフトウェアを調べきれている保証はない。自分のシステムに導入しているウイルス対策ソフトウェアが安全かどうかは、ベンダに確認した方がよい。


[脆弱性情報]
Skypeに2つの脆弱性が存在

情報の内容 脆弱性情報
情報ソース Skype Technologies
報告日 2005/10/25
対象環境 Skype for Windows 1.1.x.0〜1.4.x.83

 Skype Technologies社は、同社のIP電話ソフトウェア「Skype」のWindows版に、バッファ・オーバーフローによる脆弱性が存在すると発表した。

 Skypeによって拡張されるURIのハンドラ「callto://」「skype://」から、特殊な方法でSkypeが呼び出されることにより、DoS攻撃を受けたり任意のコードが実行されたりする危険性があるという。これは、同ソフトウェアのビルドに使用されているボーランド社のDelphiのバグによるもので、Skype社は、メモリ境界チェックを行うルーチンを入れ替えることによりこの脆弱性を解消したバージョンを配布している。バージョン1.4.x.84以降のバージョンにはこの脆弱性は存在しないので、Skypeユーザーは、すぐにもバージョン・アップしておきたい。

■関連サイト

■HotFix Report BBS関連スレッド


[脆弱性情報]
Oracleのパスワード・ハッシュ機能に脆弱性が存在

情報の内容 脆弱性情報
情報ソース SANS Diary
報告日 2005/10/27
対象環境 Skype for Windows 1.1.x.0〜1.4.x.83

 米セキュリティ研究機関のSANは、Oracle製データベース・ソフトウェアのパスワード・ハッシュを生成するアルゴリズムに脆弱性が存在する、と発表した。

 SANSの研究者であるJoshua Wright氏とロンドン大学のCarlos Cid氏の共著「An Assessment of the Oracle Password Hashing Algorithm」という論文によれば、例えば「ORACLE」と「ORACL」という平文に対するハッシュ値が同一になってしまうという。

 両氏およびSANSはOracle社へ連絡済みというが、この問題に対して同社は正式なコメントを発表していない。上記の論文によれば、根本的な解決法ではないものの、パスワードを12文字以上にする、パスワードの有効期限を60日に制限する、TNS名を含むパケットを暗号化する――といった対策があるという。修正プログラムなどの根本的な対策が公表されるまで、ハッシュ化されたパスワードであっても、なるべく漏洩しないようにする必要があるだろう。

■関連サイト

■HotFix Report BBS関連スレッド


[脆弱性情報]
QuickTimeに任意のコードが実行される危険性のある複数の脆弱性が存在

情報の内容 実証コード情報
情報ソース Piotr Bania氏
報告日 2005/11/04
CVE CVE-2005-2753CVE-2005-2754CVE-2005-2755CVE-2005-2756
対象環境 QuickTime 7.0.3未満

 Piotr Bania氏は、アップル・コンピュータのマルチメディア・プレーヤ「QuickTime」に4件の脆弱性が存在することを報告し、アドバイザリを公開した。

 QuickTimeは、Windowsにおけるビデオ再生やPICT形式画像の表示に広く利用されている。細工されたMOV形式の動画ファイルをQuickTimeで再生すると、任意のコードが実行されてしまう危険性がある。また、細工されたPICT形式の画像をQuickTime PictureViewerで表示すると、やはり任意のコードが実行される危険性がある。MOVファイルの属性情報が消失している場合、DoS攻撃に遭う可能性もあるという。実証コードは確認されていないが、MOV形式の動画ファイルをインライン再生させるWebサイトも多いことから、十分に警戒が必要である。

 アップル・コンピュータは、これらの脆弱性を解消したQuickTime 7.0.3の提供を開始している。QuickTimeをインストールしている環境では、早急にバージョンアップした方がよい。

■関連サイト


そのほかの不具合情報、追加情報


[マイクロソフト]

[その他のベンダ]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間