Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年10月版
2.緊急レベル4件を含む6件のセキュリティ修正が公開(2)

DA Lab Windowsセキュリティ
2007/10/15
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

[緊急] MS07-057939653
Internet Explorer 用の累積的なセキュリティ更新プログラム
最大深刻度 緊急
報告日 2007/10/10
MS Security# MS07-057
MSKB# 939653
対象環境 Internet Explorer 5.01/Internet Explorer 6/Internet Explorer 7
再起動 必要
HotFix Report BBSスレッド MS07-057

セキュリティ・ホールの概要と影響度

 この修正プログラムは、Internet Explorer(IE)のダウンロード処理におけるメモリ破損の脆弱性や、アドレス・バーのなりすましが可能な脆弱 性を解消する。各脆弱性の概要は以下のとおり。

  • エラー処理のメモリの破損の脆弱性(深刻度:緊急 CVE:CVE-2007-3893
     ファイルをダウンロードしている際のキュー(待ち行列)の処理中に発生するメモリ破損の脆弱性。細工されたWebページをIEで開くと任意のコードが実行される危険性がある。

  • アドレス・バーのなりすましの脆弱性(深刻度:警告 CVE:CVE-2007-3892CVE-2007-1091CVE-2007-3826
     実際のWebページとは異なるURLをアドレス・バーに表示に表示できるなりすましの脆弱性。フィッシング・サイトなどに悪用される危険性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 2000 SP4
Internet Explorer 6 Windows XP SP2
Internet Explorer 7 Windows XP SP2
Internet Explorer 6 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Vista

適用時の注意点

■MS07-057の修正プログラム適用による既知の不具合
 MS07-057の修正プログラムを適用すると、以下の不具合が発生することが判明している。

■MS07-057の修正プログラムによって解消される不具合
 MS07-057の修正プログラムには、以下の不具合の修正が含まれている。

KB番号 タイトル 対象
918961 FIX: アクセス違反で JavaScript ガベージ コレクタが TBODY、 THEAD または TFOOT HTML タグを実行し、そして Windows XP でのテーブルから動的に削除すると、 Internet Explorer 6 が終了できます IE 6(Windows XP SP2)
929864 Internet Explorer 7 を使用して Web ページにアクセスすると ActiveX コントロールが非アクティブになる IE 7
934014 FIX: Windows Internet Explorer 7 が CODEBASE 属性で OBJECT 要素を含む Web ページを開き、そして CLSID 属性がないと、参照される ActiveX コントロールをダウンロードしません IE 7
935729 You cannot open a Web page by using Windows Internet Explorer 7 if the URL of the Web page contains non-ASCII characters IE 7
936949 Focus is not set to the Web page if you minimize the browser window and then maximize it from the taskbar in Internet Explorer 7 IE 7
941896 FTP サイトにログオンできません。あるいは、 Internet Explorer 7 の FTP サイトのルート フォルダにリダイレクトされます IE 7

[緊急] MS07-058933729
RPC の脆弱性により、サービス拒否が起こる
最大深刻度 重要
報告日 2007/10/10
MS Security# MS07-058
MSKB# 933729
対象環境 Windows 2000/Windows XP/Windows Server 2003/Windows Vista
再起動 必要
HotFix Report BBSスレッド MS07-058

セキュリティ・ホールの概要と影響度

 Windows OSにおけるRPC(リモート・プロシージャ・コール)の認証処理の過程に脆弱性が存在し、細工されたRPCの認証リクエストによってコンピュータが再起動してしまう可能性がある。ネットワークを経由したリモート攻撃が可能なため、危険度は高い。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP2
Windows Server 2003 Windows Server 2003 SP1/R2/SP2
Windows Vista Windows Vista

[緊急] MS07-059942017
Windows SharePoint Services 3.0 および Office SharePoint Server 2007 の脆弱性により、SharePoint サイトで特権の昇格が起こる
最大深刻度 重要
報告日 2007/10/10
MS Security# MS07-059
MSKB# 942017
対象環境 SharePoint Services 3.0/Office SharePoint Server 2007
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-059

セキュリティ・ホールの概要と影響度

 SharePoint Services 3.0/Office SharePoint Server 2007が、エンコードされたURLリクエストを十分に検証しないことに起因する脆弱性が存在し、細工されたURLリクエストに含まれる任意のスクリプトが実行されて特権が昇格する危険性がある。またクライアントPCから情報が漏洩する危険性もある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
SharePoint Services 3.0 Windows Server 2003 SP1/R2/SP2+SharePoint Services 3.0
Office SharePoint Server 2007 Office SharePoint Server 2007

適用時の注意点

■MS07-059の修正プログラム適用時の注意点と発生する不具合
  MS07-059の修正プログラムを適用する際の不具合を防止するため、適用時にウイルス・スキャンをオフにすることが推奨されている。また、それとは別に複数の不具合が発生することが報告されているので、適用前に以下のサポート技術情報を確認しておいた方がよい。

■修正プログラムの適用後に「SharePoint製品とテクノロジ構成ウィザード」の実行が求められる
  SharePoint Services 3.0とOffice SharePoint Server 2007のどちらも、MS07-059の修正プログラムを適用する際に「SharePoint製品とテクノロジ構成ウィザード」の実行を求めるメッセージが表示される。このウィザードを実行して初めて修正プログラムの適用が完了するので、忘れずに実行すること。

[緊急] MS07-060942695
Microsoft Word の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/10/10
MS Security# MS07-060
MSKB# 942695
対象環境 Word 2000/Word 2002
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-060

セキュリティ・ホールの概要と影響度

 Word 2000/2002がWordファイルを開く際にその内容を十分に検証しないことに起因するメモリ破損の脆弱性が存在し、細工されたWordファイルを開くと任意のコードが実行される危険性がある。

 なおWord 2007はこの脆弱性の影響を受けない。またWord 2003ではクラッシュの危険性はあるもののコード実行は不可能とのことだ。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Word 2000 Office 2000 SP3
Word 2002 Office XP SP3

適用時の注意点

■Word 2000向け修正プログラムはMicrosoft Update/自動更新では適用不可
  MS07-060のWord 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update/自動更新では適用できないので注意が必要だ。


 INDEX
  [Windows HotFix Briefings ALERT]
    1.緊急レベル4件を含む6件のセキュリティ修正が公開(1)
  2.緊急レベル4件を含む6件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT