DA Labとは?

Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年9月版
1.緊急レベル1件を含む4件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2007/09/19

本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2007年9月12日に、MS07-051〜054の合計4件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが1件、「重要」が3件である。詳細な技術情報だけでなく、実証コードが報告されたものも含まれており、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS07-051938827
Microsoft エージェントの脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/09/12
MS Security# MS07-051
MSKB# 938827
対象環境 Windows 2000
再起動 必要
HotFix Report BBSスレッド MS07-051

セキュリティ・ホールの概要と影響度

  Windows 2000のMicrosoftエージェント・コントロールがURLを処理する過程に脆弱性が存在し、細工されたURLを受け取ると、任意のコードが実行される危険性がある。Microsoftエージェントとは、アニメーションによるキャラクターを用いたユーザー・インターフェイス技術であり、Windows OSに標準で組み込まれている。この脆弱性により、細工済みのWebページをInternet Explorer(IE)で開くだけで攻撃が実行されてしまうおそれがある。なお、Windows XP/Windows Server 2003/Windows Vistaはこの脆弱性の影響を受けない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア
対象プラットフォーム
Windows 2000
Windows 2000 SP4

適用時の注意点

■MS07-051の修正プログラムにはMS06-068は含まれない
Microsoftエージェントの脆弱性は、過去にMS05-032MS06-068MS07-020でも解消されている。MS07-051の修正プログラムは、このうちMS05-032/MS07-020を置き換えるものの、MS06-068を置き換えることができない。もしMS06-068の修正プログラムが未適用ならば、MS07-051と併せて適用したほうがよい。


[重要] MS07-052941522
Crystal Reports for Visual Studio の脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2007/09/12
MS Security# MS07-052
MSKB# 941522
対象環境 Visual Studio .NET 2002/Visual Studio .NET 2003/Visual Studio 2005
再起動 必要(不要な場合あり)
HotFix Report BBSスレッド MS07-052

セキュリティ・ホールの概要と影響度

 Crystal ReportsがRPTファイル(Crystal Reportsのレポート定義ファイル)を処理する過程に脆弱性が存在し、任意のコードが実行される危険性がある。Crystal Reportsとは、Business Objectsが開発・提供しているレポーティング・ツールのことで、Visual Studioにもそのカスタム・バージョンが採用されているため、この脆弱性の影響を受ける。攻撃の手段としては、細工済みのRPTファイルを電子メールで送信してユーザーに閲覧させることなどが考えられる。この脆弱性の実証コードは公開済みのため、攻撃に悪用されることが懸念される。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Visual Studio .NET 2002 Visual Studio .NET 2002 SP1
Visual Studio .NET 2003 Visual Studio .NET 2003 SP未適用/SP1
Visual Studio 2005 Visual Studio 2005 SP未適用/SP1

適用時の注意点

■Crystal Reportsがインストールされている環境は別途修正プログラムの適用が必要
MS07-052の脆弱性の実体はCrystal Reportsに存在するため、Crystal Reports製品あるいはCrystal Reportsのカスタム・バージョンを採用した製品もその影響を受ける。こうした製品を利用している場合は、その製品を提供しているベンダに修正プログラムの有無を確認のうえ、早急に適用したほうがよい。

■Visual Studio .NET 2002/2003向け修正プログラムは手動で適用する必要あり
MS07-053のVisual Studio .NET 2002/2003向け修正プログラムは、Windows Update/Microsoft Update/自動更新に対応していない(WSUSにも対応していない)。ダウンロード・センターから修正プログラムをダウンロードし、手動で適用する必要があるので注意が必要だ。



 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル1件を含む4件のセキュリティ修正が公開(1)
    2.緊急レベル1件を含む4件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間