Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル2個を含む3個のセキュリティ修正が公開

―― HTMLヘルプ、カーソル処理などに重大な複数の脆弱性 ――

DA Lab Windowsセキュリティ
2005/01/18

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2005年1月12日、以下の3個(MS05-001〜003)の脆弱性を公表し、修正プログラムの提供を開始した。3個のうち2個の最大深刻度は、最も緊急性の高い「緊急」レベルである。一部の脆弱性については、すでにインターネット上での攻撃が確認されている。至急に適用作業を開始する必要がある。

MS05-001890175
HTMLヘルプの脆弱性により、コードが実行される

最大深刻度 緊急
報告日 2005/1/12
MS Security# MS05-001
MSKB# 890175
対象環境 Windows 98、98 SE/Windows Me/Windows NT Server 4.0/Windows 2000/Windows XP/Windows Server 2003
再起動 不要

セキュリティ・ホールの概要と影響度

 HTMLヘルプActiveXコントロールが、クロス・ドメイン・リクエストを処理する方法に脆弱性があり、攻撃者によって情報が窃取されたり、リモート・コードが実行されてコンピュータの制御が完全に奪われたりする危険性がある。HTMLヘルプはWindowsプラットフォームの標準ヘルプ・システムだ。またHTMLヘルプActiveXコントロールは、HTMLヘルプにナビゲーション機能を追加したり、セカンダリ・ウィンドウ(ポップアップ・ウィンドウ)を表示したりする目的で、複数のWindowsバージョンに標準で組み込まれている。Windows NT 4.0にはHTMLヘルプは標準搭載されないが、IEを更新すると追加インストールされる。

 この脆弱性は、セキュリティ情報ベンダのSecuniaが2004年10月20日から重大な脆弱性として警告していたもので、この脆弱性を攻撃して感染するTrojan.Phel.Aなどと呼ばれるトロイの木馬型ウイルスの活動もすでに発見されている。

 この脆弱性を悪用した攻撃は、Webやメールを通じてユーザーに攻撃用に細工した不正なデータを開かせることで実行される。従って、インターネットを利用しているユーザーのクライアント・コンピュータが攻撃対象となる。前述したとおり、実際の攻撃も確認されているので、早期の修正プログラムの適用が必要である。

 「緊急」レベルの脆弱性であるため、今回の修正プログラムは、すでに通常のサポートが終了したWindows 98/98 SE、Windows Meに対しても提供される。ただしこれらのOSに対しては、Windows Updateでのみ提供され、ダウンロード・センターでは提供されない。これらの古いデスクトップOSについては、個別にWindows Updateにアクセスして修正を適用する必要がある。

 同じくサポートが終了しているWindows NT Workstation 4.0については、修正プログラムは提供されない。NT Workstationについては、修正プログラムの適用以外の手段で対策を講じる必要がある(ネットワークからの遮断やOSのバージョンアップなど)。なおOS自体はサポート対象だが、SPレベルが古いWindows 2000 SP2、Windows XP SP未適用向けの修正プログラムは提供されない。これらの古いSPを利用している場合には、新しいSPを適用してから今回の修正プログラムを適用する。

 本来であれば、Windows NT Server 4.0についても昨年末(2004年末)でサポートが終了したのだが、マイクロソフトによれば、今回は修正プログラムの準備がほぼ完了していたため、特別に提供することにしたとしている。ただし今回の修正プログラムは、Windows NT Server 4.0+IE 6.0 SP1だけが対象である。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE Windows 98/98SE
Windows Me Windows Me
Windows NT Server 4.0 Windows NT Server 4.0 SP6a+IE 6.0 SP1
Windows NT Server 4.0 Terminal Server Edition Windows NT Server 4.0 Terminal Server Edition, SP6+IE 6.0 SP1
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003
 
MS05-002891711
カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2005/1/12
MS Security# MS05-002
MSKB# 891711
対象環境 Windows 98、98 SE/Windows Me/Windows NT Server 4.0/Windows 2000/Windows XP/Windows Server 2003
再起動 必要

セキュリティ・ホールの概要と影響度

 マウス・カーソルやアニメーション・カーソル、アイコンを表示するWindowsの機能に2つの脆弱性があり、攻撃者によるリモート・コード実行が可能になったり、コンピュータの応答が停止させられたりする危険性がある。いずれもマウス・カーソルなどに利用されるカーソル・イメージやアニメーション・カーソル、エクスプローラや各種アプリケーションのダイアログ・ボックスなどで利用されるアイコン・データの処理部分に脆弱性が存在する。1つは未チェック・バッファによりリモート・コード実行を許してしまう脆弱性、もう1つはカーソル・ファイルなどを開く部分に問題があり、細工されたファイルを開くとコンピュータの応答が停止してしまう脆弱性である。

 前出のMS05-001と同じく、この脆弱性に対する攻撃は、攻撃用WebページやHTMLメールをユーザーに開かせることで実行される。クライアント・ユーザーが攻撃対象となる脆弱性であり、最悪の場合はリモート・コード実行などによってコンピュータが完全に制御されてしまう危険性がある。各クライアント・コンピュータに対して、早期に修正プログラムを適用する必要がある。

 またMS05-001と同じく、このMS05-002についても「緊急」レベルであることから、Windows 98/98 SE、Windows Me向けの修正プログラムが提供されている(Windows Updateのみ)。Windows NT Workstation 4.0向けやWindows 2000 SP2、Windows XP SP未適用向けの修正プログラムは提供されない点、本来サポートは終了しているがWindows NT Server 4.0向けには特別に提供される点もそれぞれMS05-001と同様である。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE Windows 98/98SE
Windows Me Windows Me
Windows NT Server 4.0 Windows NT Server 4.0 SP6a
Windows NT Server 4.0 Terminal Server Edition Windows NT Server 4.0 Terminal Server Edition, SP6
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a
Windows Server 2003 Windows Server 2003
 
MS05-003871250
インデックス サービスの脆弱性により、コードが実行される

最大深刻度 重要
報告日 2005/1/12
MS Security# MS05-003
MSKB# 871250
対象環境 Windows 2000/Windows XP/Windows Server 2003
再起動 必要

セキュリティ・ホールの概要と影響度

 Windows 2000以降のWindows OSに標準搭載されているインデックス・サービスに未チェック・バッファの脆弱性があり、細工された特別な検索文字列を利用すると、攻撃者によるリモート・コード実行が可能になる。インデックス・サービスは、データをインデックス化して高速なデータ検索を可能にするシステム・サービスである。当初はIISでのWeb検索向けに開発されたが、現在ではIISによる仮想Webサイト向けの検索サービスだけでなく、通常のファイル・システム向けとしてもインデックスを利用した検索サービスが利用可能になっている。

 ただしデフォルトでは、インデックス・サービスは有効化されない。有効化するにはユーザーないし管理者の明示的な操作が必要である。マイクロソフトは、インデックス・サービスを有効化していないコンピュータは、「問題の影響を受けないと思われる」と述べている(断定していない点には注意が必要だろう)。

 この脆弱性の影響が最も懸念されるのは、IISを利用してインターネット向けにWebサイトを公開しているシステムで、インデックス・サービスを利用したサイト検索機能を不特定多数のユーザーに公開しているケースだ。このように、IISによるWebベースの検索クエリ・インターフェイスをインデックス・サービスに対して有効化している場合は、インターネット経由で攻撃者からこの脆弱性を攻撃される危険がある。

 インターネット向けのWebベースの検索クエリ・インターフェイスを有効化していなくても、インデックス・サービス自体を有効化している場合には、認証されたローカル・ユーザー(匿名インターネット・ユーザーではない)が今回の脆弱性を権限の昇格に悪用する危険性がある。

 最大深刻度は「重要」とされているが、最悪の場合はリモート・コード実行を可能にする重大な脆弱性である。前述したとおり、インターネット向けのWebサーバとしてWindowsを利用している場合には、一刻も早く今回の修正プログラムを適用すべきだ。

 どうしても早期の修正プログラム適用が不可能なら、当面の回避策として、マイクロソフトが公開した以下のサポート技術情報に従い、検索用のクエリ文字列を60文字未満に制限しよう。今回の脆弱性を悪用する攻撃には60文字以上の検索クエリ文字列が必要なので、それを回避するためだ。一般的なWebサイト検索であれば、検索文字列を60文字未満に設定しても大きな問題はないはずだ。

 なおWindows 2000については、今回の脆弱性の影響は直接受けないのだが、今回提供された修正プログラムでは、問題となっている脆弱性の解消に加え“Microsoft.ISAdm.1”と呼ばれるインデックス・サービスの管理用オブジェクトが更新されてセキュリティ機能が強化されたとしている。こちらはWindows 2000にも関係するので、Windows 2000のユーザーであっても、MS05-003の修正プログラムを適用することをマイクロソフトは推奨している。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a
Windows Server 2003 Windows Server 2003
   
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間