Windows HotFix Briefings ALERT

セキュリティ情報
2.緊急レベル5件を含む7件のセキュリティ修正が公開(2)

DA Lab Windowsセキュリティ
2006/07/20

 
MS06-036914388
DHCPクライアント サービスの脆弱性によりリモートでコードが実行される
最大深刻度 緊急
報告日 2006/07/12
MS Security# MS06-036
MSKB# 914388
対象環境 Windows 2000/Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-036

セキュリティ・ホールの概要と影響度

 DHCPクライアント・サービスに未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。DHCPは、IPアドレスなどの設定を自動的に行うためのプロトコルである。DHCPのクライアント・コンピュータがDHCPサーバに要求を出すと、IPアドレスなどの設定情報が返されるが、この応答パケットを偽装して送信することにより、DHCPクライアントに不正なパケット・データを送りつけ、クライアント・コンピュータ上で任意のコードを実行させることができる。

 細工したDHCP応答パケットの送信は、基本的には同一のネットワーク・セグメント内にあるコンピュータからのみ可能だが、直接インターネットに接続しているコンピュータでは、インターネットから攻撃を受ける可能性もある。また、社内のコンピュータがこの脆弱性を悪用するようなウイルスやワームに感染した場合、同一セグメント内にある別のコンピュータすべてが攻撃対象となってしまうので危険性が高い。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1、Windows Server 2003 R2
 
MS06-037917285
Excelの複数の脆弱性によりリモートでコードが実行される
最大深刻度 緊急
報告日 2006/07/12
MS Security# MS06-037
MSKB# 917285
対象環境 Excel 2000/Excel 2002/Excel 2003/Excel Viewer 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-037

セキュリティ・ホールの概要と影響度

 表計算ソフトウェアExcelに以下の8件の脆弱性があり、攻撃によりリモートでコードが実行される危険がある。

 多くはメモリ破損の脆弱性で、不正なレコードやファイルをExcelが処理する際にメモリ破損を起こし、攻撃による任意のコード実行が可能になる。リストから分かるとおり、8件すべての脆弱性が緊急として分類されており、危険性が高い。攻撃は、細工したExcelファイルをメールに添付し、これをユーザーに開かせるか、細工したExcelファイルへのリンクをWebページに配置し、これをクリックさせることにより実行される。

 特に、不正な形式のSELECTIONレコードの脆弱性(深刻度:緊急 CVE:CVE-2006-1301)不正な形式のファイルの脆弱性(深刻度:緊急 CVE:CVE-2006-3059)についてはすでに攻撃が確認されている。早急な修正の適用が必要である。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

 なお、Microsoft Update(MU)やWSUS(Windows Server Update Service)はOffice 2000に対応していないため、Excel 2000の修正を適用するには、MU/WSUSではなく、Office Updateサイトにアクセスする必要がある。Excel 2000がインストールされた環境でMU/WSUSを実行しても、適用が必要な修正は表示されないので注意すること。

影響を受けるソフトウェア 対象プラットフォーム
Excel 2000 Office 2000 SP3
Excel 2002 Office XP SP3
Excel 2003 Office 2003 SP1/SP2
Excel Viewer 2003 Excel Viewer 2003
 
MS06-038917284
Office製品の複数の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2006/07/12
MS Security# MS06-038
MSKB# 917284
対象環境 Office 2000/Office XP/Office 2003/Project 2000/Project 2002/Visio 2002
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-038

セキュリティ・ホールの概要と影響度

 Office製品に以下の3つの脆弱性があり、攻撃によりリモートでコードが実行される危険がある。

 最大の深刻度はいずれも「緊急」である。前出のMS06-037同様、攻撃は、細工したOfficeファイルをメールに添付し、これをユーザーに開かせるか、細工したOfficeファイルへのリンクをWebページに配置し、これをクリックさせることにより実行される。

 特にOffice 2000では、IE上でWebページ上のOfficeファイルへのリンクをクリックすると、確認ダイアログ([開く]、[保存]または[キャンセル]の確認ダイアログ)は表示されずに、ファイルが自動的に開かれてしまうので、より攻撃を受ける危険性が高い(Office XP、Office 2003では、確認ダイアログが表示され、これをユーザーが承認しなければファイルは表示されない)。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

 MS06-037同様、Microsoft Update(MU)やWSUS(Windows Server Update Services)はOffice 2000に対応していないため、Office 2000やProject 2000の修正を適用するには、MU/WSUSではなく、Office Updateサイトにアクセスする必要がある。Office 2000/Project 2000がインストールされた環境でMU/WSUSを実行しても、適用が必要な修正は表示されないので注意すること。

影響を受けるソフトウェア 対象プラットフォーム
Office 2000 Office 2000 SP3
Office XP Office XP SP3
Office 2003 Office 2003 SP1/SP2
Project 2000 Project 2000 SR-1
Project 2002 Project 2002 SP 1
Visio 2002 Visio 2002 SP2
 
MS06-039915384
Office製品のPNG/GIF画像処理の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2006/07/12
MS Security# MS06-039
MSKB# 915384
対象環境 Office 2000/Office XP/Office 2003/Project 2000/Project 2002/Project 2003/OneNote 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-039

セキュリティ・ホールの概要と影響度

 Office製品のPNG/GIF画像処理フィルタ部分に脆弱性があり、攻撃によりリモートでコードが実行される危険がある。具体的な脆弱性は以下の2件である。

 前述のMS06-037MS06-038など、ほかのOfficeの脆弱性と同じく、この脆弱性攻撃も、細工したOfficeファイルをメールに添付し、これをユーザーに開かせるか、細工したOfficeファイルへのリンクをWebページに配置し、これをクリックさせることにより実行される。

 MS06-038同様、特にOffice 2000では、IE上でWebページ上のOfficeファイルへのリンクをクリックすると、確認ダイアログ([開く]、[保存]または[キャンセル]の確認ダイアログ)は表示されずに、ファイルが自動的に開かれてしまうので、より攻撃を受ける危険性が高い(Office XP、Office 2003では、確認ダイアログが表示され、これをユーザーが承認しなければファイルは表示されない)。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

 MS06-037MS06-038同様、Microsoft Update(MU)やWSUS(Windows Server Update Services)はOffice 2000に対応していないため、Office 2000やProject 2000の修正を適用するには、MU/WSUSではなく、Office Updateサイトにアクセスする必要がある。Office 2000/Project 2000がインストールされた環境でMU/WSUSを実行しても、適用が必要な修正は表示されないので注意すること。

影響を受けるソフトウェア 対象プラットフォーム
Office 2000 Office 2000 SP3
Office XP Office XP SP3
Office 2003 Office 2003 SP1/SP2
Project 2000 Project 2000 SR-1
Project 2002 Project 2002 SP1
Project 2003 Project 2003 SP1/SP2
OneNote 2003 OneNote 2003 SP1/SP2
 

 INDEX
  [Windows HotFix Briefings ALERT]
    1.緊急レベル5件を含む7件のセキュリティ修正が公開(1)
  2.緊急レベル5件を含む7件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間