Windows HotFix Briefings
(2006年5月26日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/05/26

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[脆弱性情報]
Wordの未公開の脆弱性を悪用した攻撃報告
情報の内容 脆弱性情報
情報ソース セキュリティ・ベンダ各社、マイクロソフト
報告日 2006/05/19
対象環境 Word 2000/2002/2003

 The SANS Instituteなどのセキュリティ・ベンダは、Word 2002/2003における未公開のバッファ・オーバーフローの脆弱性を悪用したウイルスを確認したことを、2006年5月19日に報告した。

 報告によれば、攻撃は電子メールに添付された.DOCファイルを開くことで実行されるという。その際、Word 2002/2003に存在する、修正プログラムが公開されていない脆弱性によって、トロイの木馬がインストールされる。トロイの木馬はrootkitにより隠蔽され、バックドアを開く。その結果、トロイの木馬が仕込まれたコンピュータは、攻撃者によって完全に制御を奪われてしまうという。Word 2000にも脆弱性は存在するが、トロイの木馬は仕込まれずWordが異常終了するだけ、とのことだ。

 この脆弱性に対し、マイクロソフトはセキュリティ・アドバイザリを2006年5月23日に公開した。

 このアドバイザリによると、この脆弱性に対する修正プログラムの開発は完了し、検証段階にあるという。修正プログラムは、検証が完了した段階か、6月度の月例修正のいずれかで公開するとしている。この中でマイクロソフトは、修正プログラムが公開されるまでの回避策として、Wordを常にセーフモードで使用することを提唱している。Wordの実行ファイル(winword.exe)の起動時オプションとして/safeを追加することで、Wordがセーフモードで実行されるようになるという。

 またOutlookとWordの双方がインストールされた環境では、Outlookのメール・エディタとしてWordがデフォルトで使用される。この場合、Wordを直接起動したときだけでなく、Outlookでメールを編集した際にも脆弱性の影響を受けるので、Outlookの設定を変更して、エディタとしてWordを使わないようにする。

 詳細な技術情報は公開されていないが、未公開の脆弱性を悪用した攻撃であるため、ウイルス対策ソフトウェアが対応していない可能性がある。修正プログラムが提供されるまでは、不審な添付ファイルを開かない、不審なWebサイト上の.DOCファイルを開かない、Wordをセーフモードで使用する、といった運用で回避する必要がある。

■HotFix Report BBS関連スレッド


[脆弱性情報]
アップルコンピュータ、複数の脆弱性を解消したQuickTime 7.1の提供を開始
情報の内容 脆弱性情報
情報ソース アップルコンピュータ
報告日 2006/05/10
対象環境 QuickTime 7.0.x、iTunes 6.0.1/6.0.2

 アップルコンピュータは、QuickTimeに複数の脆弱性が存在することを報告し、2006年5月10日に脆弱性を解消したQuickTime 7.1の提供を開始した。

 脆弱性は、以下の表に示す形式の画像/映像ファイルの処理において、Windows OSが異常終了したり任意のコードが実行できたりするというものだ。QuickTimeは単体でインストールできるほか、iTunesをインストールするとデフォルトでインストールされる。その際にQuickTimeムービー(.qt/.mov)やPICT画像(.pict)形式などのファイルが関連付けられる。これらのファイルへのWebサイトのリンクをクリックすると、自動的にQuickTime Playerで再生されるようになる。また、iTunesのライブラリに細工されたこれらのファイルが保存されている場合、iTunesで再生することにより任意のコードが実行される危険もある。いずれの脆弱性も対象が広範囲で危険性が高い。

CVE番号 対象ファイル
CVE-2006-1458 JPEG画像
CVE-2006-1459CVE-2006-1460 QuickTimeムービー
CVE-2006-1461 Flashムービー
CVE-2006-1462CVE-2006-1463 H.264ムービー
CVE-2006-1464 MPEG4ムービー
CVE-2006-1249 FlashPix画像
CVE-2006-1465 AVIムービー
CVE-2006-1453CVE-2006-1454 PICT画像
CVE-2006-2238 BMP画像
QuickTime 7.0.xの脆弱性と対象ファイル形式

 脆弱性が解消されたQuickTime 7.1は以下のWebページからダウンロードできる。QuickTime 7.0.xがインストール済みの場合は早急にバージョンアップした方がよい。古いiTunesを利用している場合やQuickTime 7.0.xがバンドルされているマルチメディア制作ソフトウェアを利用している場合は、特に注意が必要だ。

■HotFix Report BBS関連スレッド


[脆弱性情報]
Infotech Storage System Libraryの脆弱性により任意のコードが実行される
情報の内容 脆弱性情報
情報ソース Ruben Santamarta氏、セキュリティ・ベンダ各社
報告日 2006/05/10
対象環境 Windows 2000 SP4、Windows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1、Windows 98/Me

 Ruben Santamarta氏は、Infotech Storage System Library(itss.dll)にヒープ破損の脆弱性が存在することを2006年5月10日に報告し、実証コードも公開した。

 Infotech Storage System Library(itss.dll)は、主に.CHM(Compiled Help Module)ファイルに格納したHTMLファイルやActiveXコントロール、画像ファイルなどのコンポーネントを扱うためのライブラリである。

 報告によれば、細工した.CHMファイルをWindows Help Utility(hh.exe)などがitss.dllを利用して処理する際にヒープ破損が起こり、任意のコードが実行される危険性があるという。細工した.CHMファイルをユーザーが開くようにWebサイトやHTMLメールで誘導することで、スパイウェアのインストールなどに悪用されることが懸念される。

 現時点では、マイクロソフトからこの脆弱性に対する正式な報告や修正プログラムの提供は行われていない。詳細な技術資料と実証コードが公開されていることから、攻撃コードが早期に公開されることが予想される。不審なWebサイトのリンクや電子メールの添付ファイルを開かないといった、運用上の注意が必要である。


[脆弱性情報]
Windows XP、Windows Server 2003に権限が昇格できるセキュリティ的に望ましくない仕様
情報の内容 脆弱性情報
情報ソース David Litchfield氏ほか
報告日 2006/05/16
対象環境 Windows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1

 David Litchfield氏などは、Windows XPとWindows Server 2003にユーザー権限を昇格できる脆弱性が存在することを2006年5月16日に報告した。

 詳細な技術情報は公開されていないが、権限の低いアカウントが、より高い権限に昇格できてしまうため、コンピュータの完全な制御を奪われてしまうという。その際、低い権限で動作しているサービスのアカウントが利用されるとのことだ。この脆弱性単独では、おそらく危険度は高くないと推察されるものの、ほかの脆弱性と併用することにより情報漏えいなどの多大な被害を引き起こす危険性がある。

 サービスはその動作に多くの権限を必要とすることが多い。そのような多くの権限を確保するため、旧来のサービスはLocal SystemやAdministratorなどの高い権限を持つアカウントで実行するのが常であった。だがこれでは、仮にサービスに脆弱性が存在し悪用された場合の被害が大きい。そこで今日では、必要最低限の権限を持ったアカウントでサービスを実行することが推奨されている。特にWindows XPとWindows Server 2003では、Network ServiceやLocal Serviceといった、Local Systemより低い権限を持つサービス用アカウントが導入されている。

 ただしこれらの比較的権限の低いアカウントでサービスを実行していても、高い権限のユーザーがサービスを利用するためにサービスに接続すると、サービスは実質的にそれらの高い権限のユーザーとしてふるまうことも可能である。このこと自体は「偽装」(Impersonation)という仕組みと仕様によるものであり、悪意の無いサービスが正しく動作している限りは問題ない。

 問題となるのは、仮に、正当なサービスのふりをする悪意のあるサービスがコンピュータに仕込まれたり、悪意の無い正当なサービスであっても何らかの脆弱性が悪用され乗っ取られたりする場合である。サービスが比較的権限の低いアカウントで実行されていれば、被害はそれらのアカウントに許された比較的狭い範囲にとどまることが本来期待されるはずである。ところが、もし高い権限のユーザーが、(悪意や乗っ取りに気付かずに)サービスを利用しようとしてサービスに接続すると、「偽装」により、サービスは実質的にその高い権限のユーザーとしてふるまうことができる。そのため、悪意のあるサービスや乗っ取られたサービスによる被害が拡大する可能性がある。

 つまり、サービスの偽装に関するこのような仕様単独での危険度は高くないが、ほかの脆弱性と併用することにより情報漏えいなどの多大な被害を引き起こす危険性がある。

 この記事執筆時点で、マイクロソフトはこの脆弱性に対する詳細な情報や修正プログラムを提供していない。不要なサービスを稼働させない、脆弱性があるなど信頼できないサービスはたとえ権限の低いアカウントとしてであっても実行しない、脆弱性のあるサービスや信頼できないコンピュータ上のサービスには接続しない、といった運用上の対策が必要となる。

■HotFix Report BBS関連スレッド


そのほかの不具合情報、追加情報

[マイクロソフト]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間