セキュリティ・ホールの概要と影響度

　現在では主にリアルタイム性の高いゲーム向けAPIとして使われているDirectX中のDirectPlay API（IDirectPlay4）に脆弱性があり、サービス拒否攻撃を許容する危険がある。DirectPlayは、ネットワーク対戦ゲームの開発を支援するDirectX同梱のネットワーク・プロトコルである。IDirectPlay4 APIのパケット検証が不十分なため、不正なパケットを受信すると異常終了してしまう。この場合でも、DirectPlayアプリケーションを再起動すれば機能は回復するが、この脆弱性が悪用されるとサービス拒否攻撃が可能だ。

　問題のIDirectPlay4は、DirectX 6.0以降に含まれており、最新のDirectX 9.0bでもサポートされている。ただし攻撃が可能なのは、IDirectPlay4 APIがインストールされているだけでなく、これを利用したアプリケーションが実行中の場合に限られる。現行のネットワーク・ゲームのほとんどは、IDirectPlay8を利用しており、今回の脆弱性の影響は受けない。また通常、IDirectPlay4を利用するのはネットワーク・ゲームであり、ビジネス・アプリケーションでは使われないので、この脆弱性が企業ユーザーに及ぼす影響は小さいと考えられる。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要だ。

影響を受けるソフトウェア	対象プラットフォーム
Windows 2000＋DirectX 7.0	Windows 2000 SP2／SP3／SP4＋DirectX 7.0
Windows 2000＋DirectX 8.0	Windows 2000 SP2／SP3／SP4＋DirectX 8.0／8.0a
Windows 2000＋DirectX 8.1	Windows 2000 SP2／SP3／SP4＋DirectX 8.1／8.1a／8.1b
Windows XP＋DirectX 8.1	Windows XP SP未適用／SP1／SP1a＋DirectX 8.1
Windows Server 2003＋DirectX 8.1	Windows Server 2003＋DirectX 8.1
DirectX 8.2	Windows 2000 SP2／SP3／SP4、Windows XP SP未適用／SP1／SP1a＋DirectX 8.2
DirectX 9.0	Windows 2000 SP2／SP3／SP4、Windows XP SP未適用／SP1／SP1a、Windows Server 2003＋DirectX 9.0／9.0a／9.0b
脆弱性の含まれるDirectXのバージョンと動作環境

　このように今回は、Windows 98／98 SE／Me向けの修正プログラムは提供されない。Windows 98／98SEではDirectX 7.0aが、Windows MeではDirectX 7.1がそれぞれサポートされており、これらにはIDirectPlay4 APIが実装されている。従って脆弱性の影響は受けるが、マイクロソフトは、この脆弱性は「緊急ではない」として修正プログラムは提供していない（Windows 98／98SE／Meについては、緊急と判断した修正プログラムのみ提供を行うとしている）。Windows 98／98 SE／Meでネットワーク・ゲームを利用しているユーザーは注意が必要である。Windows 98／98 SE／Meのユーザーは、DirectX 9.0bをインストールし、MS04-016の修正プログラムを適用することにより、脆弱性を回避できる。

セキュリティ・ホールの概要と影響度

　マイクロソフトの最新のソフトウェア開発環境であるVisual Studio .NET 2003（以下VS.NET 2003）に付属のレポート・ツール「Crystal Report」に脆弱性があり、情報漏えいやサービス拒否攻撃の危険があることが公表された。Crystal Reportは、米Business Objects社が開発したレポーティング・ツールで、これを利用することで、Webアプリケーションにチャートや帳票などの出力機能を簡単に追加できる。Crystal Reportの詳細については関連記事を参照されたい。

Crystal Reportの詳細

　このCrystal Reportの脆弱性は、特定のHTTP要求を処理する際に適切な入力検査を実施していないことに起因する。このためCrystal Reportを実行しているコンピュータから、ファイルの取得や削除が実行されたり、サービス拒否攻撃を許容したりする。マイクロソフトは、Crystal Reportのカスタム版を自社のいくつかの製品に添付している。しかし日本語版が提供されているのはVS.NET 2003のみである（ほかはOutlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2がある）。

　今回の脆弱性の影響を受けるコンピュータは、VS.NET 2003をインストールして（Crystal Reportコンポーネントはデフォルトでインストールされる）、かつWebサーバであるIISを実行しているものに限られる。一般にWebアプリケーションの開発者は、自身のコンピュータにIISをインストールして、Webアプリケーションの実行テストを行う。このようなコンピュータは攻撃対象になるので、修正プログラムを適用して脆弱性を解消する必要がある。VS.NET 2003をインストールしていても、IISをインストールしていない場合は脆弱性の影響は受けない。従ってIISを無効にすれば、修正プログラムを適用しなくても、一時的に脆弱性の影響を回避できる。

　また開発環境だけでなく、VS.NET 2003でCrystal Reportsを利用したカスタム・ソリューションを作成した場合、今回の脆弱性の影響を受ける可能性がある。VS.NET 2003からCrystal_Managed2003.msmマージ・モジュールを使用した場合には、回避策の情報や修正プログラムをマイクロソフトやCrystal Reportの開発元であるBusiness Objects社から取得し、対応する必要がある。ただしカスタム・ソリューションと修正プログラムの互換性はマイクロソフトもBusiness Objects社も保証しないとしている。

対象プラットフォーム

　今回修正プログラムが提供される環境はVS.NET 2003のみである。

　なお修正プログラムの適用時には、VS.NET 2003インストールCDが要求されるので、インストールCDをCD-ROMドライブに挿入してから適用作業を開始する。CD-ROMドライブのないノートPCなどに適用する場合には、VS.NET 2003のインストールCDから必要なファイル（Disc1の「vs_setup.msi」）を事前にハードディスクにコピーしておくとよい。