Windows HotFix Briefings ALERT

セキュリティ情報
1.緊急レベル3件を含む7件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2006/12/19

 
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2006年12月13日に、MS06-072〜078の合計7件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが3件、「重要」が4件である。詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものも含まれており、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS06-072925454
Internet Explorer 用の累積的なセキュリティ更新プログラム
最大深刻度 緊急
報告日 2006/12/13
MS Security# MS06-072
MSKB# 925454
対象環境 Windows 2000 SP4/Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-072

セキュリティ・ホールの概要と影響度

 Internet Explorer(IE)に関する4種類の脆弱性が公表され、そのための修正プログラムが公開された。いずれも細工されたWebページをInternet Explorer(IE)で開くと、任意のコードが実行される危険性がある。対象はIE 5.01〜6.0で、最新のIE 7は対象外となっている。

 いずれも危険性が高いので、すぐに修正プログラムを適用することが望ましい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 2000 SP4
Internet Explorer 6 Windows XP SP2
Internet Explorer 6 Windows Server 2003 SP未適用/SP1/R2

適用に関する注意点

■MS06-072の修正プログラムを適用しても解消されない脆弱性が複数存在する
 IEには、これ以外にも、すでに発見/報告済みの脆弱性が多数存在しているので、IEの運用には、引き続き十分な注意が必要である。

■Windows XP SP1/SP1a+IE 6 SP1に対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、Windows XP SP1/SP1a+IE 6 SP1向けの修正プログラムは提供されない。必要ならばWindows XP SP2を適用してから、適用する必要がある。

■IE 7はMS06-072の脆弱性の影響を受けない
 MS06-072で説明されている脆弱性は、IE 7に影響を及ぼさないとのことだ。IE7がインストール済みの場合、MS06-072に関する対策の必要はない。

 
[緊急] MS06-073925674
Visual Studio 2005 の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2006/12/13
MS Security# MS06-073
MSKB# 925674
対象環境 Visual Studio 2005
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-073

セキュリティ・ホールの概要と影響度

 開発環境であるVisual Studio 2005に含まれるWMI Object Broker ActiveXコントロールに、不適切なオブジェクトをインスタンス化してしまう脆弱性が存在する。WMI Object Broker ActiveXコントロールでの検証が不正確なため、IEのインターネット・セキュリティ・ゾーンの制限をバイパスして、オブジェクトがインスタンス化されることがある。この結果、本来はインスタンス化されないような危険なオブジェクトがインスタンス化されてしまい、その結果、任意のコードが実行される可能性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Visual Studio 2005 Visual Studio 2005 Standard Edition/Professional Edition/Team Suite/Team Edition for Developers/Team Edition for Architects/Team Edition for Testers

適用に関する注意点

■Visual C# 2005 Express EditionなどのExpress Editionは対象外
 無償で提供されているVisual C# Express EditionやVisual C++ 2005 Express Editionなど、Express Editionには、脆弱性の原因となっているwmiscriptutils.dllファイルが含まれていない。そのためMS06-073の脆弱性の対象外となっている。

 
 
[緊急] MS06-074926247
SNMP の脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2006/12/13
MS Security# MS06-074
MSKB# 926247
対象環境 Windows 2000 SP4/Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-074

セキュリティ・ホールの概要と影響度

 SNMP(簡易ネットワーク管理プロトコル)は、ネットワーク機器のリモート監視や遠隔操作などに使用されるプロトコルである。このSNMPサービスに未チェック・バッファの脆弱性が存在し、細工されたSNMPパケットを受信すると、サービス拒否を起こしたり、任意のコードを実行させられたりする危険性がある。デフォルトではインストールされていないが、システム監視ツールなどによって導入されている場合がある。その場合は、早急に修正プログラムを適用することが望まれる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1/R2

適用に関する注意点

■SNMPサービスを再インストールすると、修正プログラムの再適用が必要な場合がある
 DA Labでテストしたところ、MS06-074の修正プログラムを適用した後、いったんSNMPサービスをアンインストールしてから再度インストールすると、snmp.exeが脆弱性の残る古いバージョンに戻る場合があることを確認した。その場合は修正プログラムの再適用が必要になる。

■Windows XP SP1/SP1aに対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、Windows XP SP1/SP1a向けの修正プログラムは提供されない。必要ならばWindows XP SP2を適用してから、適用する必要がある。

 
[緊急] MS06-075926255
Windows の脆弱性により、特権が昇格される
最大深刻度 重要
報告日 2006/12/13
MS Security# MS06-075
MSKB# 926255
対象環境 Windows XP/Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-075

セキュリティ・ホールの概要と影響度

 Windows OSを構成する重要なサブシステムであるCSRSS(Client/Server Run-Time Subsystem)において、マニフェスト・ファイルを処理する過程に脆弱性が存在する。CSRSSは、コンソール・ウィンドウやスレッドの作成/削除などを担当する。このCSRSSが細工されたマニフェスト・ファイルを読み込むと特権の昇格が起こり、コンピュータの制御が完全に奪われる危険性がある。マニフェストは、XML形式でアプリケーションの実行環境などに関する情報(DLLのバージョンや依存関係、配置情報など)を記述したもので、.exeや.dllファイルに組み込むことができる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows XP Windows XP SP2
Windows Server 2003 Windows Server 2003 SP未適用

適用に関する注意点

■サポート技術情報921337の脆弱性も解消する
 MS06-075の修正プログラムは、サポート技術情報921337で言及している潜在的な脆弱性も解消するとのことだ。

■Windows XP SP1/SP1aに対する修正プログラムは提供されない
 Windows XP SP1/SP1aはすでにサポート・ライフサイクルが終了したため、Windows XP SP1/SP1a向けの修正プログラムは提供されない。必要ならばWindows XP SP2を適用してから、適用する必要がある。

 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル3件を含む7件のセキュリティ修正が公開(1)
    2.緊急レベル3件を含む7件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間