Windows HotFix Briefings
(2005年12月23日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/12/23

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[月例セキュリティ情報]
マイクロソフト、12月度の月例セキュリティ情報を公開

Windows HotFix Briefings ALERT(2005年12月20日版)

 2005年12月14日、マイクロソフトは12月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報はMS05-054/055の2個で、それぞれ最大深刻度は緊急(1)レベルと重要(2)レベルとなっている。

 MS05-054の修正プログラムは、CAN-2005-2829283028311790の4つの脆弱性を解消する。この修正プログラムは、脆弱性の対象となるCOMオブジェクトのkill bitを設定して、Internet Explorerによるインスタンス化を禁止するMS05-037/038/052の修正プログラムを置き換える。すでにこれらのうち、いくつかの脆弱性を検証する実証コードや攻撃が確認されていることから、早急に修正プログラムを適用する必要がある。

 MS05-055の脆弱性はWindows 2000を対象としたもので、ローカルでログオンしてプログラムを実行できることが攻撃の条件となっている。脆弱性を報告したeEye Digital Securityによれば、Windows NT 4.0にも同じ脆弱性が存在するという。インターネットから直接攻撃を受ける危険性は低いが、メールに添付されていたり、Webサイトからダウンロードしたりしたファイルをユーザーが誤って実行してしまうことにより、この脆弱性を攻撃される危険性がある。

■HotFix Report BBS関連スレッド


[攻撃情報]
MS05-051の脆弱性を悪用したワームを確認

情報の内容 攻撃情報
情報ソース ウイルス対策ソフトウェア・ベンダなど
報告日 2005/12/19
対象環境 MS05-051の未適用

 ウイルス対策ソフトウェア・ベンダなどは、MS05-051の脆弱性を攻撃するワーム「Dasher」と複数の亜種が検出されたことを報告した。

Windows HotFix Briefings(2005年12月9日版)

 MS05-051で公開されたMSDTCの脆弱性とは、分散トランザクション処理を行うMSDTCの機能に未チェックのバッファが存在するというものだ。この脆弱性により、任意のコードが実行されてしまう危険性がある。Windows 2000ではMSDTCがデフォルトで有効になっており、しかも匿名での接続を受け付けるため、この脆弱性の影響を最も受けやすい。実証コードは2005年11月27日と12月1日にそれぞれ1種類が公開されていた。

 今回検知報告のあったDasherは、SQL Serverを検索するツールに似せた名前でローカルに攻撃コードを保存し、BlackICEなどの侵入検知プログラムのプロセスを止め、レジストリを書き換えてセキュリティ状態を低いレベルへとコンピュータの動作状態を変更しようとする。その上で攻撃コードを脆弱性が存在するコンピュータに送り込んで増殖しようとする。すでに複数の亜種が検出されていることから、今後は、より危険度の高い亜種の登場が懸念される。

 またJPCERT/CCは、MSDTCの脆弱性が対象と推測されるTCP 1025番ポートへのスキャンが大幅に増加していることが観測されたと2005年12月12日に報告している。

 MS05-051の修正プログラムを適用していれば、このワームには感染しないので、修正プログラムが未適用の場合は、早急に適用した方がよい。

■HotFix Report BBS関連スレッド


[脆弱性情報]
Windows XPのIISにサービス拒否を起こす脆弱性

情報の内容 脆弱性情報
情報ソース Inge Henriksen氏
報告日 2005/12/16
対象環境 Internet Information Services 5.1

 Inge Henriksen氏は、Windows XP用のInternet Information Services(IIS)5.1に、特定のリクエストを受け付けるとIISが再起動する脆弱性が存在することを報告した。

 脆弱性が存在するのはWindows XP Professionalに含まれるIIS 5.1のみで、IISのコア・コンポーネントであるinetinfo.exeに問題があるという。IIS 5.1に対して「http://www.example.com/_vti_bin/.dll/%01/~1」のような文字列でリクエストすると、IISが再起動してサービス拒否状態になる。問題が発生するリクエストは、以下の形式である。

http://アドレス/実行許可を与えている仮想ディレクトリ/.dll/マジックコード/~マジックナンバー

 マジックコードは「%01〜%1f」および「%3f」「"」「*」「:」「<」「>」で、マジックナンバーは「0〜9」だという。同氏の報告によれば、inetinfo.exeの内部的なカウンタが「0」になるような、正しく解釈できないリターン・コードをntdll.dllがIISに返すことにより、IISのクラッシュが起こるという。また同氏の報告では、この脆弱性はバッファ・オーバーフローを引き起こすものではないので、任意のコードが実行させられるものではないとしている。ただしセキュリティ・ベンダのDeterminaは、この脆弱性はリモートでコードの実行を許す危険性がある、と2005年12月20日に発行したアドバイザリで報告している。

 現時点では、マイクロソフトからこの脆弱性を解消する修正プログラムは提供いない。すでに脆弱性を悪用するようなリクエストの文字列が簡単に作成できることから、サービス拒否攻撃に悪用される危険性が高い。Windows XP Professionalでインターネットに公開するWebサーバを構築している場合には、注意を要する。

■関連サイト

■HotFix Report BBS関連スレッド


[実証コード情報]
FirefoxとMozilla Suiteに存在するInstallVersion.compareTo()の脆弱性に対する実証コードが公開

情報の内容 実証コード情報
情報ソース セキュリティ・ベンダ
報告日 2005/12/12
対象環境 Firefox 1.0.5未満、Mozilla Suite 1.7.9未満

 Aviv Raff氏は、Firefox 1.0.5未満/Mozilla Suite 1.7.9未満に存在する「InstallVersion.compareTo()の脆弱性」に対する実証コードを2005年12月12日に公開した。

 InstallVersion.compareTo()の脆弱性は、文字列ではなくオブジェクトが渡された場合に、そのオブジェクトが検証されずに処理されることで、アクセス違反によりブラウザがクラッシュするというものだ。JavaScriptのオブジェクトを渡すことにより、インストラクション・ポインタが制御できることから、任意のコードを実行させられる危険性がある。

 公開された実証コードは、JavaScriptを埋め込んだHTMLである。このHTMLをFirefoxでブラウズすると、Firefoxがクラッシュする。実証コードは任意のコードを実行するものではないが、脆弱性自体は任意のコードが実行される可能性のある危険なものだ。

 このアドバイザリには、shutdown氏による別の実証コードについても記述されている。shutdown氏による実証コードも任意のコードを実行するものではないが、2種類の実証コードが公開されたことから、攻撃コードの登場も懸念される。脆弱性の対象となるFirefox 1.0.5未満/Mozilla Suite 1.7.9未満を利用している場合は、脆弱性の解消されているバージョンに更新した方がよい。

■関連サイト


[不具合修正情報]
MS05-050の修正プログラムがインストーラの不具合を修正して再リリース

情報の内容 不具合修正情報
情報ソース マイクロソフト
報告日 2005/12/14
対象環境 MS05-050の未適用

 マイクロソフトは、MS05-050(DirectShow の脆弱性により、リモートでコードが実行される)の修正プログラムの、インストーラの不具合を解消したバージョンを2005年12月14日にリリースした。

 公開当初のバージョンでは、例えばWindows 2000+DirectX 8.x/9.0xの環境に対してDirectX 7.0用の修正プログラムを適用すると、ファイルが更新されないまま、修正プログラムの適用に成功したステータスになってしまう不具合が存在した。今回公開されたバージョンでは、インストーラがDirectXのバージョンをチェックし、異なるバージョンのDirectXが動作している環境に適用しようとすると警告が表示されるようになっている。すでにMS05-050の修正プログラムが正しく適用できている場合には、再インストールする必要はない。

■関連サイト

■[HotFix Report BBS関連スレッド


[不具合修正情報]
MS05-011の修正プログラムの適用による不具合を解消する修正プログラムを提供

情報の内容 不具合修正情報
情報ソース マイクロソフト
報告日 2005/12/16
対象環境 Windows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用

 マイクロソフトは、2005年2月9日にリリースしたMS05-011の修正プログラムを適用したことによって発生する不具合を解消する修正プログラムを、2005年12月16日に公開した。

 MS05-011の修正プログラムを適用後、ネットワーク共有のサブフォルダの内容が表示できなくなる、という不具合が発生する場合があった。この不具合が起こるのは、MS05-011を適用しており、接続先のサーバで以下のレジストリの値に「1」が書き込んである場合である。該当する不具合が生じているなら、以下のレジストリ値を調べてから、修正プログラムを適用するとよいだろう。

対象OS レジストリ・キー
Windows XP HKEY_LOCAL_MACHINE\SYSTEMのCurrentControlSet\Control\FileSystem
\NtfsDisable8dot3NameCreation
Windows Server 2003 HKEY_LOCAL_MACHINE\SYSTEMのCurrentControlSet\Services\lanmanserver
\parameters\NoAliasingOnFileSystem
不具合を引き起こすレジストリの値
これらの値(DWORD型)に「1」が設定されていると(デフォルトは「0」)、ネットワーク共有のサブフォルダの内容が参照できない場合がある。

■HotFix Report BBS関連スレッド


[脆弱性情報]
Excelにコードの実行を可能にする脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ・ベンダ
報告日 2005/12/19
対象環境 Excel 97 SR未適用/SR1/SR2、Excel 95、Excel 2003 SP未適用/SP1/SP2、Excel 2002 SP未適用/SP1/SP2/SP3、Excel 2000 SP未適用/SP2/SP3/SR1

 セキュリティ・ベンダのSecurityFocusは、Microsoft Excelにコードの実行を可能にする脆弱性がある、と2005年12月19日に報告した。

 報告によれば、Excelには2種類の不特定のメモリ破壊の脆弱性が存在するという。攻撃者によってこの脆弱性を悪用されると、ユーザーのコンピュータ上で任意のコードを実行させられてしまう。技術的な詳細は発表されていないが、すでに2種類の実証コードが公開されていること、加えてマイクロソフトから修正プログラムが提供されていないことから、実際の攻撃が懸念される。また、脆弱性の対象となるExcelのバージョンが広範に及ぶので、メールに添付されたExcelのデータ・ファイル(.xls)を不用意に開かない、といった注意が必要だろう。

■HotFix Report BBS関連スレッド


そのほかの不具合情報、追加情報

[マイクロソフト]

[その他のベンダー]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間