Windows HotFix Briefings ALERT

セキュリティ情報
1.緊急レベル6件を含む10件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2006/10/17
 
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2006年10月11日に、MS06-056〜065の合計10件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが6件、「重要」が1件、「警告」が2件、「注意」が1件の計10件である。さらに先月末に、「緊急」レベルが1件、月例リリースを待たずにリリースされている(非常に緊急性が高いため)。いずれも、詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものもあり、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS06-055925486
Vector Markup Language の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2006/09/27
MS Security# MS06-055
MSKB# 925486
対象環境 Windows 2000 SP4/Windows XP/Windows Server 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-055

セキュリティ・ホールの概要と影響度

 これは、先月のWindows HotFix Briefings ALERTでも触れた、「Microsoft Internet ExplorerにおけるVMLコード実行の脆弱性を悪用したウイルス」を解消するための修正プログラムである。10月の月例リリース日を待たずに、9月末にリリースされている。

 Vector Markup Language(VML)は、Webブラウザ上で利用する、XMLベースのベクター・グラフィックスのアドオン機能である。このVMLの処理をするDLLファイルにバッファ・オーバーフローなどの脆弱性が見つかり、すでにこの脆弱性を利用するウイルスも確認されていた。非常に危険性が高いので、速やかに適用した方がよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4+Internet Explorer 5.01 SP4/Internet Explorer 6 SP1
Windows XP Windows XP SP1/SP1a、Windows XP SP2+Internet Explorer 6
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6

適用に関する注意点

■脆弱性の回避策をすでに実施している際の注意
 TechNetセキュリティ情報MS06-055に記されている回避策のうち、vgx.dllのアクセス制御リスト(ACL)の制限を強める、という対策が実施済みの場合、MS06-055の修正プログラムを適用する前にこのACLを戻しておいた方がよい。制限したままだとMS06-055の修正プログラムの適用に失敗する可能性がある。
 
[緊急] MS06-056922770
ASP.NET 2.0 の脆弱性により、情報漏えいが起こる
最大深刻度 警告
報告日 2006/10/11
MS Security# MS06-056
MSKB# 922770
対象環境 .NET Framework 2.0
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-056

セキュリティ・ホールの概要と影響度

 .Net Framework 2.0にクロスサイト・スクリプティングの脆弱性が存在する。.Net Framework 2.0がHTTP要求の内容を検証する方法に脆弱性が存在し、WebFormコントロールのAutoPostBackプロパティが「true(デフォルトはfalse)」に設定されていると、細工されたHTTP要求を受け取って、スクリプトが実行されてしまう。これにより悪意のあるスクリプトが実行されてしまう危険性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
.NET Framework .NET Framework 2.0

適用に関する注意点

■適用にはWindows Installer 3.1が必要
 MS06-056の修正プログラムを適用するには、事前にWindows Installer 3.1がインストールされている必要がある。

■適用に失敗することがある
 以下のサポート技術情報によると、MS06-033と同様、MS06-056の修正プログラムの適用に失敗することがある。適用時にエラー・コード「0x643」が表示された場合は、.NET Framework 2.0を1度アンインストールから再インストールするとよい。また、
 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル6件を含む10件のセキュリティ修正が公開(1)
    2.緊急レベル6件を含む10件のセキュリティ修正が公開(2)
    3.緊急レベル6件を含む10件のセキュリティ修正が公開(3)
    4.緊急レベル6件を含む10件のセキュリティ修正が公開(4)
    5.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT