Windows HotFix Briefings
(2006年1月27日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/01/27

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[攻撃情報]
メール/ファイル共有で拡散するワームNyxem.Eが国外で蔓延

情報の内容 攻撃情報
情報ソース セキュリティ・ベンダ
報告日 2006/01/20
対象環境 Windows 98/98SE/Me/NT 4.0/2000/XP、Windows Server 2003

 海外のセキュリティ・ベンダ各社は、2006年1月17日前後に発生が確認されたメール拡散型のワーム「Nyxem.E」(「MyWife.d」、「Blackmal.E」、「GREW.B」、「BlackWorm」など呼び名は複数)の感染報告が70万件にも上ったとして、警告を発している。

 このワームは、システムに自身をインストールした後、自身を添付したメールを送付しようと試みる。また、C$やADMIN$といった管理共有を含むネットワーク共有フォルダに、偽装したファイル名で自身をコピーして感染を広げようとする。このワームは、感染すると以下の行動をとる。

  • 感染を広げるにあたり、ウイルス対策ソフトウェアを終了させ消去する。
  • システム起動時の自動実行項目からウイルス対策ソフトウェアのエントリを削除して自身のエントリを登録する。
  • 決まった日にファイルを破壊する。

 このワームが削除を試みるファイルは、有名なウイルス対策ソフトウェアがデフォルトでインストールされるフォルダに含まれる.DLLおよび.EXE形式などのファイルである。また毎月3日に、ワームが再起動30分後に特定の拡張子(.DMP/.DOC/.MDB/.MDE/.PDF/.PPS/.PPT/.PSD/.RAR/.XLS/.ZIP)のファイルを「DATA Error [47 0F 94 93 F4 K5]」という内容で上書きしようとする。

 ウイルス対策ソフトウェアのベンダ各社は、2006年1月20日前後から、Nyxem.Eに対応したデータベースにアップデートしているようだ。Nyxem.Eは定期的にデータ・ファイルの上書きを行う破壊活動を伴うので、早急に最新のウイルス定義ファイルに更新し、感染の有無を確認する方がよい。

■HotFix Report BBS関連スレッド


[脆弱性情報]
QuickTimeに複数の脆弱性

情報の内容 脆弱性情報
情報ソース eEye Digital Security、Apple Computer
報告日 2006/01/10
対象環境 QuickTime 7.0.3以下

 Apple Computerは、QuickTimeのQTIF/TGA/TIFF/GIF形式画像の処理に関する5個の脆弱性が存在すると2006年1月10日に報告し、脆弱性を解消したQuickTime 7.0.4をリリースした。

 QuickTime 7.0.4では、CVE-2005-2340CVE-2005-3707CVE-2005-3708CVE-2005-3709CVE-2005-3710CVE-2005-3711CVE-2005-3713CVE-2005-4092の脆弱性を解消する。これらの脆弱性は、いずれもバッファにデータをコピーする際にメモリ境界をチェックしないなど、バッファ・オーバーフローに起因するものだ。細工された画像やメディア・ファイルを貼り付けたWebページやHTMLメールを閲覧することにより、ウイルスやワームのダウンロードやインストールが行われてしまう可能性がある。

 脆弱性を解消したQuickTime 7.0.4がリリースされたことから、脆弱性を発見したeEye Digital Securityが詳細な技術情報を公開している。

 これらの脆弱性はQuickTimeだけでなく、QuickTimeのコンポーネントを利用したサード・パーティ製のプレイヤーや、QuickTimeコンテンツをインライン再生するブラウザなどにも影響を与える。iTunesの普及に伴い、iTunesの必須コンポーネントであるQuickTimeをユーザーが意識せずにインストールしている場合が多い。早急にQuickTime 7.0.4にアップグレードした方がよい。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Internet Explorerにサービス拒否攻撃を可能にする脆弱性

情報の内容 脆弱性情報
情報ソース Inge Henriksen氏
報告日 2006/01/14
対象環境 Internet Explorer 5/6

 Inge Henriksen氏は、Internet Explorer 5/6にサービス拒否攻撃を可能にする不具合がある、と報告した。

 同氏によれば、この不具合は細工されたIMGタグとXMLコードを含むHTMLを解析する際に、Internet Explorerの当該インスタンスが強制終了させられるというものだ(実証コードは上記ページに掲載されている)。

 リモートやローカルでコードを実行する不具合ではないと同氏は述べている。情報が窃取されるような攻撃に悪用される危険性は低いと思われるが、ブラウザ・クラッシュの手段として悪用されることが懸念される。

 
[脆弱性情報]
Visual Studioにリモート・コード実行の脆弱性

情報の内容 脆弱性情報
情報ソース Priestmaster Research
報告日 2006/01/11
対象環境 Visual Studio 2005/.NET 2002/.NET 2003/6.0/97、Visual C++ 6.x

 Priestmaster Researchは、Visual Studioにリモート・コード実行が可能な脆弱性があると報告し、実証コードを公開した。

 この脆弱性は、Visual Studioが細工されたフォームを持つソリューション・ファイルを開く際に、UserControl.Loadイベントにより任意のWindows APIや.NET Frameworkコードを自動実行してしまうというものだ。米マイクロソフトはサポート技術情報において警告しているものの、詳細な技術情報や修正プログラムは現時点では提供していない。身元が不明なプロジェクト・ファイルを開いたり、ビルドしたりしない、といった対策が必要である。

■HotFix Report BBS関連スレッド


そのほかの不具合情報、追加情報

[マイクロソフト]

[そのほかのベンダ]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間