Windows HotFix Briefings ALERT

セキュリティ情報
1.緊急レベル5件を含む6件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2006/11/21
 
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2006年11月15日に、MS06-066〜071の合計6件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが5件、「重要」が1件の計6件である。いずれも、詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものもあり、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS06-066923980
NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2006/11/15
MS Security# MS06-066
MSKB# 923980
対象環境 Windows 2000 SP4/Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-066

セキュリティ・ホールの概要と影響度

 NetWare用クライアント・サービス(CSNW)に未チェック・バッファの脆弱性が存在し、細工されたネットワーク・パケットを受信すると、サービス拒否が引き起こされたり、任意のコードが実行されたりする危険性がある。

 CSNWは、ファイル・サーバOSであるNetWare/Novell Directory Services(NDS)のファイルへのアクセスや、印刷やディレクトリ・サービスを利用するためのサービスである。このコンポーネントを組み込むことにより、Windows OSからNetWare OSへ、クライアントとしてシームレスにアクセスできるようになる。Windows 2000 Serverの場合は、「NetWare 用ゲートウェイ サービス」という、NetWare OSとWindows OS間で中継を行うサービスが利用できるが、これも同様に脆弱性の影響を受ける。一方、Windows XP Home Edition SP2とWindows XP Media Center Edition 2005では、CSNWのコンポーネントが含まれていないため、脆弱性の影響を受けることはない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP Professional SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2

適用に関する注意点

■Windows XP SP1/SP1aに対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、MS06-066の修正プログラムは提供されない。必要ならWindows XP SP2を適用してからMS06-066を適用する。
 
[緊急] MS06-067922760
Internet Explorer 用の累積的なセキュリティ更新プログラム
最大深刻度 緊急
報告日 2006/11/15
MS Security# MS06-067
MSKB# 922760
対象環境 Internet Explorer 5.01 SP4/Internet Explorer 6 SP未適用/SP1
再起動 必要
HotFix Report BBSスレッド MS06-067

セキュリティ・ホールの概要と影響度

 Internet Explorer(IE)に関する2種類の脆弱性が公表され、そのための修正プログラムが公開された。いずれも細工されたWebページをInternet Explorer(IE)で開くと、任意のコードが実行される危険性がある。

  • DirectAnimation ActiveXコントロールのメモリ破損の脆弱性:(深刻度:緊急 CVE:CVE-2006-4446CVE-2006-4777

  • HTMLレンダリングのメモリ破損の脆弱性 :(深刻度:緊急 CVE:CVE-2006-4687

 DirectAnimationは、主にWebページ上でアニメーションやメディア再生をサポートする機能であるが、その処理過程にメモリが破壊される脆弱性が発見された。後者は、IEがHTMLのレイアウト配置をデコードする過程に存在する脆弱性である。CSS(カスケーディング・スタイル・シート)の処理において、細工されたDIVタグが存在するとメモリ破損が引き起こされる。

 いずれも危険性が高いので、すぐに修正プログラムを適用することが望ましい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4+Internet Explorer 5.01 SP4/Internet Explorer 6 SP1
Windows XP Windows XP SP2+Internet Explorer 6
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6

適用に関する注意点

■MS06-067の修正プログラムを適用しても解消されない脆弱性が複数存在する
 IEには、これ以外にも、すでに発見/報告済みの脆弱性が多数存在しているので、IEの運用には、引き続き十分な注意が必要である。

■Windows XP SP1/SP1a+IE 6 SP1に対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、Windows XP SP1/SP1a+IE 6 SP1向けの修正プログラムは提供されない。必要ならばWindows XP SP2を適用してから、適用する必要がある。

■IE 7はMS06-067の脆弱性の影響を受けない
 MS06-067で説明されている脆弱性は、IE 7に影響を及ぼさないとのことだ。IE7がインストール済みの場合、MS06-067に関する対策の必要はない。
 
[緊急] MS06-068920213
Microsoft エージェントの脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2006/11/15
MS Security# MS06-068
MSKB# 920213
対象環境 Windows 2000 SP4/Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-068

セキュリティ・ホールの概要と影響度

 Microsoftエージェントとは、アニメーションによるキャラクターを用いて、ユーザーとのインタラクティブなユーザー・インターフェイスを提供するソフトウェア技術である。WindowsやOfficeでは、Microsoftエージェントを利用し、犬やイルカなどのキャラクターを利用したユーザー・サポート機能を提供している。このキャラクターが記述されたACFファイルを処理する過程にバッファ・オーバーフローの脆弱性が存在し、細工されたWebページを開くと任意のコードが実行される危険性がある。早急に修正プログラムを適用することが望まれる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2

適用に関する注意点

■Windows XP SP1/SP1a+IE 6 SP1に対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、MS06-068向けの修正プログラムは提供されない。必要ならばWindows XP SP2を適用してから、適用する必要がある。
 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル5件を含む6件のセキュリティ修正が公開(1)
    2.緊急レベル5件を含む6件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT