Windows HotFix Briefings
(2006年1月13日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/01/13

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[月例セキュリティ情報]
マイクロソフト、1月度の月例セキュリティ情報を公開

 2006年1月11日、マイクロソフトは1月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報はMS06-002/003の2件で、どちらも最大深刻度は緊急(1)レベルとなっている。なお、同日公開が予定されていたMS06-001のセキュリティ情報は、攻撃報告の増加や修正プログラムのテストが完了したことなどから、2005年1月6日に前倒しして公開された(MS06-001については1月11日付け記事にて既報)。

Windows HotFix Briefings ALERT(2006年1月11日版)

 MS06-002/003とも、緊急性の高い修正プログラムであり、早期の適用が必要だ。これらの詳細については、次週(1月18日付け)のHotFix Briefings ALERT記事にて解説する予定である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
WMF画像処理に相次いで脆弱性が発覚

情報の内容 脆弱性情報
情報ソース cocoruder氏
報告日 2006/01/07、2006/01/09
対象環境 Windows 2000、Windows XP、Windows Server 2003

 cocoruder氏は、Graphics Rendering EngineがWMF(Windows Meta File)形式の画像をレンダリングする処理に、2件の脆弱性が存在すると報告した。

Windows HotFix Briefings ALERT(2005年11月15日版)
Windows HotFix Briefings ALERT(2006年1月11日版)

 WMFの処理に関する脆弱性については、すでにMS05-053(2005年11月9日)とMS06-001(2006年1月6日)の修正プログラムが提供されているが、今回報告された脆弱性は別の部分に起因するもので、これらの修正プログラムでは解消されない。cocoruder氏が公開した実証コード中のコメントによれば、2件の脆弱性はそれぞれGraphics Rendering Engine(GDI32.DLL)のExtCreateRegion()関数とExtEscape()関数に、WMFヘッダを処理する過程でバッファ・オーバーフローを引き起こす脆弱性が存在するという。実証コードは、任意のコードを実行するものではなくexplorer.exeがクラッシュするというものだ。

 またこの報告を受け、マイクロソフトの関係者は「Welcome to the Microsoft Security Response Center Blog!」で2006年1月6日にコメントを発表している。コメントでは、cocoruder氏の報告はセキュリティ脆弱性ではなく、性能低下を引き起こす種類の問題であるとしている。

 Windows XPとWindows Server 2003では、WMF画像は「Windows画像とFAXビューア」アプレット(shimgvw.dll)に関連付けられている。以下のコマンドを実行して登録(関連付け)を削除することにより、リモートからの攻撃をある程度回避できる。ただしGraphics Rendering Engineは画像形式を拡張子で判断しないため、例えば細工されたWMF形式の画像が貼り込まれたWordドキュメントなどによる攻撃は、この方法では回避できない。

regsvr32 -u %SystemRoot%\system32\shimgvw.dll

 この回避策を実行すると、「Windows画像とFAXビューア」アプレットに関連付けられた画像ファイルをダブルクリックしても、アプレットは起動しなくなる。再びアプレットを登録するには、以下のコマンドを実行すればよい。

regsvr32 %SystemRoot%\system32\shimgvw.dll

■HotFix Report BBS関連スレッド

 
[実証コード情報]
MS05-055の脆弱性に対する実証コードが公開

情報の内容 実証コード情報
情報ソース SoBeIt氏
報告日 2006/01/05
対象環境 Windows 2000

 SoBeIt氏は、MS05-055の脆弱性に対する実行コードを2006年1月5日に報告した。MS05-055の脆弱性は、Windows OSのカーネルがAsynchronous Procedure Call(非同期プロシージャ呼び出し)のキュー一覧にあるアイテムを処理する方法に存在する。この脆弱性を悪用されると、特権の昇格が起きる危険がある。

Windows HotFix Briefings ALERT(2005年12月20日版)

 公開された実証コードはインライン・アセンブラを用いたC言語で記述された攻撃コードとヘルパー・コードである。攻撃コードをユーザー権限で実行しても親プロセス(コマンド・プロンプト)をローカル システム権限に昇格させるというものである。任意のコードが実行されるものではないが、詳細な技術情報も公開されていることから、トロイの木馬などに悪用されることが懸念される。早急にMS05-055の修正プログラムを適用する必要がある。

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報

[マイクロソフト]

[その他のベンダー]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間