Windows HotFix Briefings
(2006年4月14日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/04/14

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[月例セキュリティ情報]
マイクロソフト、4月度の月例セキュリティ情報を公開

 2006年4月12日、マイクロソフトは4月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報はMS06-013〜017の5件で、最大深刻度は緊急(1)レベルが3件、重要(2)レベルが1件、警告(3)レベルが1件となっている。

HotFix Briefings(2006年3月31日版)

 とりわけ適用にあたって注意が必要なのは、MS06-013の修正プログラムである。これには、すでに脆弱性の存在が公開され、一部で攻撃も開始されていたcreateTextRange( )メソッドの脆弱性の修正プログラムのほか、Eolas Technologies社との特許係争の関係でActiveXコントロールの起動方法を変更する修正(MSKB 912945)が含まれる。

 MSKB 912945の修正内容の適用により、Internet Explorer(IE)がActiveXコントロールを処理する方法が変わるため、ユーザーの操作性が変更されたり、ActiveXコントロール自体が不具合を起こしたりすることが既知の問題として報告されている。MS06-013の修正プログラムを展開する際には、深刻な影響がないかどうか、組織的な展開前に十分な事前調査が必要である。詳細については、以下のマイクロソフトの解説ページが参考になる。

 マイクロソフトは、この不具合を一時的に回避する(ActiveXコントロールの挙動を従来どおりにする)ための互換性パッチを2006年4月11日付けで公開した(MSKB 917425)。これは6月までの暫定的な措置で、6月度に公開が予定されているIEの累積修正を適用すると、この回避策は無効になる(ActiveXコントロールの挙動が変更される)。ただしこのMSKB 917425の互換性パッチは、WSUS/SUS/Microsoft Update/Windows Updateにリストアップされず、ダウンロード・センターから入手して手動で適用する必要がある。またWindows 2000 SP4/Windows XP SP1/Windows Server 2003 SP未適用は、互換性の問題を起こすMSKB 912945の修正プログラムの対象ではないため、これらに対してMSKB 917425の互換性パッチは提供されない。Windows 2000 SP4/Windows XP SP1/Windows Server 2003 SP未適用環境にMS06-013を適用しても、従来のActiveXの動作のままである。

 これらの修正プログラムに関する詳報は、2006年4月18日版のHotFix ALERTでお伝えする予定である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Internet ExplorerにURL詐称可能な脆弱性
情報の内容 脆弱性情報
情報ソース Hai Nam Luke氏、Secunia、FrSIRT
報告日 2006/04/03、2006/04/04
対象環境 Internet Explorer

 Hai Nam Luke氏は、Internet Explorer(IE)にURLを詐称できる脆弱性が存在することを2006年4月3日に報告した。

 同氏の報告によれば、.swfファイル(Flashデータ・ファイル)をロードする前後で異なるURLを開くよう記述したスクリプトで、アドレス・バーに表示されているURLを実際に開いているURLとは違うものに詐称することが可能とのことだ。実際、セキュリティ・ベンダのSecuniaが公開した実証コードをDA Labで実行したところ、脆弱性が確認できた。Secuniaが提供している実証コードは、アドレス・バーがhttp://www.google.com/を示し、実際にはSecunia内のページが表示されるというものである(しばらく待つとアドレス・バーのURLもSecunia内のページを示す)。

 2006年4月11日に提供開始されたMS06-013の修正プログラムの修正内容にも、アドレス・バーの偽装の脆弱性(CVE-2006-1192)が挙がっているが、MS06-013に含まれる脆弱性は非公開で報告され、攻撃例の報告もないことから、この脆弱性とは別と考えられる。

 この脆弱性は、フィッシング詐欺への悪用が懸念される。銀行やクレジット・カード、インターネット・ショッピングなどの決済機能を持つサイトのURLを表示していて、第三者の詐欺サイトへと知らない間に誘導されてしまう可能性がある。個人情報を入力する場合は、アドレス・バーのURLを別のブラウザのウィンドウにコピー&ペーストしてから入力を行うといった対策が有効である。

■HotFix Report BBS関連スレッド

 
[ツール情報]
住商情報システムがWinny検出用ツール2種を無償公開
情報の内容 ツール情報
情報ソース 住商情報システム
報告日 2006/04/11
対象環境 Windows

 住商情報システムは、セキュリティ・ベンダのeEye Digital Securityが開発したWinny検出用ツール2種の日本語版を2006年4月11日に公開した。

 公開されたのは「eEye Winny Scanner 日本語版」(以下Scanner)と「eEye Winny Monitor 日本語版」(以下Monitor)で、eEye Digital Securityの脆弱性スキャナ「Retina」の技術を利用したツールである。

 Scannerは、スキャン対象のIPアドレスを持つノードで、Winnyが動作しているかを調査するツールだ。一方のMonitorは、スイッチング・ハブのミラー・ポート(そのスイッチング・ハブを通過する全パケットが複製される特殊ポート)でWinnyのパケットを検出し、Winnyが稼働しているコンピュータを特定、Winnyトラフィックの強制リセットを行えるツールである。いずれも、管理対象のノードへのインストールは不要で負荷も比較的低いが、Winnyが動作中でないと検出できない。

 社内ネットワーク内にWinnyノードが存在するかをチェックしたり、Winny接続を遮断したりする対策は有効である。ただし、現在事故が多発している自宅コンピュータ経由の情報漏えい対策には使えない。

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報

[マイクロソフト]

[そのほかのベンダ]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間