DA Labとは?

Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年9月版
2.緊急レベル1件を含む4件のセキュリティ修正が公開(2)

DA Lab Windowsセキュリティ
2007/09/19

本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

[重要] MS07-053939778
Windows Services for UNIX の脆弱性により、特権の昇格が起こる
最大深刻度 重要
報告日 2007/09/12
MS Security# MS07-053
MSKB# 939778
対象環境 Windows Services for UNIX 3.0/Windows Services for UNIX 3.5/UNIXベース・アプリケーション用サブシステム
再起動 必要
HotFix Report BBSスレッド MS07-053

セキュリティ・ホールの概要と影響度

 Windows Services for UNIX(SFU)/UNIXベース・アプリケーション用サブシステム(SUA)に含まれるsetuidを利用するバイナリ・ファイル(setuidバイナリ・ファイル)の処理に、特権の昇格を許す脆弱性が存在する。SFU/SUAはWindows OSのオプション・コンポーネントの一種で、UNIXとの相互運用やUNIXからの移行を支援するため機能をWindows OS上で実現する。攻撃者が細工済みのsetuidバイナリ・ファイルを直接ローカルで実行するか、あるいはユーザーを誘導して実行させると特権の昇格が発生し、コンピュータの制御が完全に奪われる危険性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows Services for UNIX 3.0 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2+Windows Services for UNIX 3.0
Windows Services for UNIX 3.5 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2+Windows Services for UNIX 3.5
UNIXベース・アプリケーション用サブシステム Windows Server 2003 R2、Windows Vista+UNIXベース・アプリケーション用サブシステム

適用時の注意点

■SFU 3.0/3.5向け修正プログラムは手動で適用する必要あり
  MS07-053のSFU 3.0/3.5向け修正プログラムは、Windows Update/Microsoft Update/自動更新に対応していない(WSUSにも対応していない)。ダウンロード・センターから修正プログラムをダウンロードし、手動で適用する必要があるので注意が必要だ。

■Windows Server 2003 SP2+SFU 3.5にはKB936529の修正プログラムの適用が必須
  SFU 3.5をインストールしたWindows Server 2003にSP2を適用した場合、MS07-053のSFU 3.5向け修正プログラムの適用時に一部のファイルが正しく更新されないという現象が確認された。これはSP2の不具合によるもので、解決するにはKB936529の修正プログラムを適用した後でMS07-053の修正プログラムを適用すればよい。


[重要] MS07-054942099
MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2007/09/12
MS Security# MS07-054
MSKB# 942099
対象環境 MSN Messenger 6.2/MSN Messenger 7.0/MSN Messenger 7.5/Windows Live Messenger 8.0
再起動 不要
HotFix Report BBSスレッド MS07-054

セキュリティ・ホールの概要と影響度

 MSN Messenger/Windows Live MessengerのWebカメラとビデオ・チャット・セッションを処理する過程に脆弱性が存在し、細工されたセッションに参加すると任意のコードが実行される危険性がある。攻撃手法としては、招待状を送信するなどして、細工済みのセッションへの参加を誘導することが考えられる。この脆弱性の実証コードは公開済みのため、攻撃に悪用されることが懸念される。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
MSN Messenger 6.2 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+MSN Messenger 6.2
MSN Messenger 7.0 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+MSN Messenger 7.0
MSN Messenger 7.5 Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+MSN Messenger 7.5
Windows Live Messenger 8.0 Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+Windows Live Messenger 8.0

適用時の注意点

■MSN Messenger/Windows Live Messengerはサインイン時に更新される
  MSN Messenger/Windows Live Messengerのサービスにサインインするとアップグレードを推奨するメッセージが表示され、それを受け入れることで自動的にファイルの更新が実行され、MS07-054の脆弱性が解消される。Windows 2000の場合はMSN Messenger 7.0.0820へ、Windows XP/Windows Server 2003/Windows Vistaの場合はWindows Live Messenger 8.1へのアップグレードがそれぞれ求められる。このとき、アップグレードを拒否するとサービスへの接続が許可されない場合があるとのことだ。

■フル・インストール・パッケージはダウンロード・センターから入手可能
  脆弱性が解消されたMSN Messenger 7.0.0820およびWindows Live Messenger 8.1.0178のフル・インストール・パッケージ(修正プログラムではない)は、ダウンロード・センターから入手できる。

 企業などの組織でMSN MessengerやWindows Live Messengerのインストール/更新をトップダウンで管理したい場合は、このフル・インストール・パッケージの利用を検討するとよいだろう。



 INDEX
  [Windows HotFix Briefings ALERT]
    1.緊急レベル1件を含む4件のセキュリティ修正が公開(1)
  2.緊急レベル1件を含む4件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間