Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル5個を含む計8個のセキュリティ修正が公開

―― 攻撃リスクの高い複数の脆弱性が明らかに ――

DA Lab Windowsセキュリティ
2005/04/19

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2005年4月13日に、以下の8個(MS05-016〜023)の脆弱性情報を公表し、修正プログラムの提供を開始した。8個のうち5個の最大深刻度は、最も緊急性の高い「緊急」レベルで、万一攻撃を受けた場合の影響が大きい脆弱性が多数含まれている。一部の脆弱性については、すでに実証コードが公開されている。至急に適用作業を開始する必要がある。

MS05-016893086
Windowsシェルの脆弱性により、リモートでコードが実行される

最大深刻度 重要
報告日 2005/04/13
MS Security# MS05-016
MSKB# 893086
対象環境 Windows 2000/Windows XP/Windows Server 2003
修正される脆弱性 CAN-2005-0063
再起動 必要

セキュリティ・ホールの概要と影響度

 Windowsシェルがアプリケーションとの関連付けを処理する部分に脆弱性があり、攻撃者によって細工されたファイルをユーザーが誤って開くと、ユーザーの権限で任意のプログラムが実行される危険性がある。リモート・コード実行の脆弱性であり、万一攻撃が成功した場合には、コンピュータの制御を完全に奪われる危険性の高いものだ(ユーザーが管理者権限でコンピュータを使用している場合)。通常、リモート・コード実行の脆弱性は最も深刻度の高い「緊急」に分類されることが多いが、この脆弱性を攻撃するには、ユーザーにファイルを開かせることが必須要件であり、Webスクプリトのようにソフトウェアによって自動実行される可能性がないために1段階低い「重要」レベルになっているようだ。この脆弱性を攻撃するための実証コードはすでにインターネットで公開されている。

 攻撃用ファイルがメールの添付ファイルとして送られたり、Webに配置されたりしても、これをユーザーが開かないかぎり攻撃を受ける心配はない。逆にいえば、ユーザーがうっかり開いてしまうと、攻撃用プログラムが実行されて、コンピュータが乗っ取られる危険があるということだ。この脆弱性に限ったことではないにせよ、ユーザーに対し、不審なファイルをむやみに開かないように再度周知徹底するとともに、準備を開始して、できるだけ早期に修正プログラムを適用すべきだ。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
.Windows 2000 .Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a/SP2
.Windows Server 2003 .NET Framework 1.1 SP0/SP1
 
MS05-017892944
メッセージ・キューの脆弱性により、コードが実行される

最大深刻度 重要
報告日 2005/04/13
MS Security# MS05-017
MSKB# 892944
対象環境 Windows 2000/Windows XP
修正される脆弱性 CAN-2005-0059
再起動 不要

セキュリティ・ホールの概要と影響度

 ソフトウェア間での非同期メッセージ通信をサポートするWindows OSのメッセージ・キュー(MSMQ:Microsoft Message Queuing)のコンポーネントに未チェック・バッファの脆弱性があり、攻撃者のリモート・コードが実行される可能性がある。万一攻撃を受けた場合には、攻撃者によってコンピュータを乗っ取られる。

 リモート・コード実行を可能にする重大な脆弱性だが、対象となるMSMQのサービスはデフォルトではいずれのOSにもインストールされていないことから、最大深刻度は1段階低い「重要」レベルとなっているようだ。脆弱性が存在するのはWindows 2000/Windows XPのみで、Windows Server 2003にはない。

 この脆弱性の影響を受けるのは、手動でMSMQをインストールした場合か、MSMQの機能を使用するソフトウェアをインストールした場合である。例えば、マイクロソフトが販売するEAI/BtoBプラットフォーム・ミドルウェアのBizTalk Serverは、MSMQが前提となっており、MSMQがインストールされていなければBizTalk Serverはインストールできない。このほかにも、非同期メッセージング処理を利用するサードパーティ製ミドルウェアなどがMSMQを使用している可能性がある。

 ただしDA Labで検証したところ、Windows XP SP1/SP1aでは、明示的にMSMQをインストールしていない場合でも、Windows UpdateでMSMQを構成するファイルの一部が検出され、MSMQをインストールしていない環境でも、Windows UpdateでMS05-017の適用が必要だと判定される場合がある。具体的な影響は不明だが、この場合は念のためMS05-017を適用しておいた方が安心だろう。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a
 
MS05-018890859
Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる

最大深刻度 重要
報告日 2005/04/13
MS Security# MS05-018
MSKB# 890859
対象環境 Windows 2000/Windows XP/Windows Server 2003
修正される脆弱性 CAN-2005-0060
CAN-2005-0061
CAN-2005-0550
CAN-2005-0551
再起動 必要

セキュリティ・ホールの概要と影響度

 Windowsカーネルに4種類の脆弱性があり、攻撃者による特権の昇格やサービス拒否攻撃を可能にする。最悪の場合は、コンピュータが攻撃者に乗っ取られる危険性がある。脆弱性は次のとおり。

 この修正プログラムに限らず、脆弱性の影響を完全に把握するのは不可能なので、基本的には、公開された修正プログラムを適用するしかない。しかし過去の経験からいって、Windowsカーネルを更新するような修正プログラムでは、不具合が発生する場合が少なくないので、MS05-018の適用にあたっては特に細心の注意が必要だ。すでに富士通は、同社のIAサーバ製品群であるPREMERGYにMS05-018の修正を適用すると、アプリケーションがクラッシュするなどの障害が発生するとの情報を公開している。

 4つの脆弱性のうち、「フォントの脆弱性」「オブジェクト管理の脆弱性」についてはWindows 98/98SE/Meにも存在するが、「緊急」レベルではないため修正プログラムは提供されない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003
 
MS05-019893066
TCP/IPの脆弱性により、リモートでコードが実行され、サービス拒否が起こる

最大深刻度 重要
報告日 2005/04/13
MS Security# MS05-019
MSKB# 893066
対象環境 Windows 2000/Windows XP/Windows Server 2003
修正される脆弱性 CAN-2005-0048
CAN-2004-0790
CAN-2004-0791
CAN-2004-1060
CAN-2004-0230
CAN-2005-0688
再起動 必要

セキュリティ・ホールの概要と影響度

 WindowsでTCP/IPによる通信をつかさどるTCP/IPスタック部分に複数の脆弱性がある。このうち最も影響が大きいIPの検証の脆弱性(CAN-2005-0048)はリモート・コード実行を可能にする。ただしこの脆弱性の影響を受けるのはWindows 2000およびWindows XP SP1/SP1aのみで、Windows XP SP2/Windows Server 2003は影響を受けない。これ以外の脆弱性は、いずれもサービス拒否攻撃を可能にするというもので、リモート・コード実行に比較すると影響は小さい。このためMS05-019の影響が「緊急」レベルとされているのはWindows 2000およびWindows XP SP1/SP1aで、Windows XP SP2/Windows Server 2003については3番目の「警告」レベルとなっている。

 今回公開された脆弱性は次のとおり。

 これらの脆弱性のうちいくつかについては、WindowsでのTCP/IP実装だけでなく、他社製品でも発生することが報告されている。原稿執筆時点では、Cisco社製ルータ製品、IBM AIX(UNIXベースのOS)、アライドテレシス社製ルータなどへの影響と対処方法などの情報が公開されている。

 これらの最新情報については、以下のセキュリティ関連BBSのスレッドが参考になる。

 すでに明かになっている製品以外でも影響を受ける可能性があるので、自身が利用しているネットワーク製品ベンダの情報などに注目しよう。

■[不具合]Windows 2000への修正適用により、ネットワークの処理速度が大幅に低下する可能性
 マイクロソフトは、Windows 2000にMS05-019の修正プログラムを適用すると、ネットワークの性能が大幅に低下する障害が発生する可能性があることと、障害発生時の対処方法について以下のサポート技術情報で公開した。Windows 2000ベースのシステムに修正を適用する場合には、事前に以下の情報を確認する必要がある。

■[情報]MaxIcmpHostRoutesというレジストリ値が追加
 今回の不具合に対する直接の対応かどうかは不明だが、MaxIcmpHostRoutesというレジストリ値が追加された。これにより、ICMPのリダイレクト・メッセージを受信したときに、ローカルIPルート・テーブルに追加可能なホスト・ルート・エントリの最大数を制限できる。このICMPリダイレクト・メッセージを使った攻撃や脆弱性は報告されていないが、無用なリダイレクト・メッセージを大量に送りつけるといった攻撃を防ぐために用意されたものと思われる。特別な理由がない限りこの値を直接操作する必要はないだろうが、ネットワーク管理者としては知っておいて損はないだろう。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003
  
MS05-020890923
Internet Explorer 用の累積的なセキュリティ更新プログラム

最大深刻度 緊急
報告日 2005/04/13
MS Security# MS05-020
MSKB# 890923
対象環境 IE 5.01/IE 5.5/IE 6/IE6 SP2
修正される脆弱性 CAN-2005-0553
CAN-2005-0554
CAN-2005-0555
再起動 必要

セキュリティ・ホールの概要と影響度

 Internet Explorer(IE)に新たに3つの脆弱性が見つかった。いずれの脆弱性も攻撃者によるリモート・コード実行を可能にする緊急性の高いものだ。

  • DHTMLオブジェクト・メモリの破損の脆弱性(CAN-2005-0553):ダイナミックなコンテンツを作成可能にするIEのDHTML(Dynamic HTML)の処理に脆弱性があり、攻撃者によりリモート実行が可能。攻撃用Webページをユーザーがアクセスすると、攻撃が実行される。

  • URL解析メモリの破損の脆弱性(CAN-2005-0554):IEのURL処理部分に脆弱性があり、攻撃によりリモート・コード実行が可能。ユーザーが攻撃用Webページにアクセスするか、攻撃用HTMLメールに配置されたURLリンクをクリックしたりすると攻撃を受ける。

  • コンテンツ・アドバイザ・メモリの破損の脆弱性(CAN-2005-0555):IEのコンテンツ・アドバイザ機能に脆弱性があり、攻撃者によるリモート・コード実行が可能。コンテンツ・アドバイザは、未成年者がアダルト向けコンテンツにアクセスできないように規制するなどのしくみである。デフォルトでこの機能は無効になっているが、IEのオプション・ダイアログの[コンテンツ]タブで有効化できる。攻撃用WebページやHTMLメールをユーザーが開くと攻撃を受ける。

 これらの脆弱性の詳細や、攻撃するための実証コードがすでにインターネットで広く開示されており、攻撃が実行に移されるリスクは高まっている(詳細はセキュリティ関連BBSの当該スレッドを参照)。実質的にIEを利用するすべてのクライアント・コンピュータが対象になることから、万一攻撃を受けた場合の影響も大きい。修正プログラムの適用に向けた準備を早急に開始すべきだ。

 なおこの脆弱性は、Windows 98/98 SE/Meについても影響があり、「緊急」レベルであることからこれらのOS向けの修正プログラムも提供されている(ただし提供は原則としてWindows Updateのみ)。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP3 Windows 2000 SP3
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 5.5 SP2 Windows Me
Internet Explorer 6 SP1 Windows 98/98SE/Me
Internet Explorer 6 SP1 Windows 2000 SP3/SP4、Windows XP SP1/SP1a
Internet Explorer 6 Windows Server 2003
Internet Explorer 6 Windows XP SP2
 
MS05-021894549
Exchange Serverの脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2005/04/13
MS Security# MS05-021
MSKB#

894549

対象環境 Exchange 2000 Server/Exchange Server 2003
修正される脆弱性 CAN-2005-0560
再起動 必要

セキュリティ・ホールの概要と影響度

 Exchange Server(Exchange 2000 Server、Exchange Server 2003)のSMTP処理部分に脆弱性があり、攻撃者によるリモート・コード実行が可能である。外部のインターネットに向けてSMTPサービスを提供している場合には、攻撃のリスクが高いため早急な対策が必要だ。

 特に前バージョンのExchange 2000 Serverでは、匿名による攻撃が可能であり、危険性が極めて高い(Exchange Server 2003では、認証ユーザーでなければ脆弱性を攻撃できない)。Exchange 2000 Serverを利用しており、インターネットに向けてSMTPサービスを公開している場合には、すぐに修正プログラムを適用するか、対策が完了するまで一時SMTPサービスを停止するか、少なくとも匿名攻撃ができないようにSMTP認証を要求するように設定を変更する必要がある(具体的な手順については、MS05-021のセキュリティ情報にある『「Exchange Server の脆弱性」の回避策』の部分を参照)。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Exchange 2000 Server Exchange 2000 Server SP3
Exchange Server 2003 Exchange Server 2003 SP未適用/SP1
 
MS05-022896597
MSN Messengerの脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2005/04/13
MS Security# MS05-022
MSKB# 896597
対象環境 MSN Messenger 6.2
修正される脆弱性 CAN-2005-0562
再起動 不要

セキュリティ・ホールの概要と影響度

 インスタント・メッセージング(Instant Messaging:IM)用ソフトウェアとしてマイクロソフトが無償公開しているMSN MessengerのGIFイメージ・ファイル処理部分に脆弱性があり、攻撃者によるリモート・コード実行が可能である。攻撃者から送信された攻撃用GIFファイルをユーザーが表示するだけで攻撃を受ける。攻撃方法は非常に容易なので、MSN Messengerユーザーが攻撃にさらされるリスクは高いだろう。

 当初マイクロソフトは、Windows XP向けのIMソフトウェアとしてWindows Messengerを搭載した。MSN Messengerは、Windows XP以外のOSでIMを利用可能にするために開発されたものだ。この経緯から、当初発表されたMSN MessengerはWindows XPに対応していなかったが、後に公開されたMSN Messenger 5.0からWindows XPにも対応された。

 同じマイクロソフト製IMソフトウェアだが、Windows XPに標準搭載されるWindows Messengerにはこの脆弱性はない。しかし前述したとおり、現在利用可能なMSN MessengerはWindows XPにも対応しており、インターネットからだれでもダウンロードして利用できることから、Windows XPユーザーの中にもMSN Messengerをインストールして使用しているユーザーがいるかもしれない。特に、インターネットからのソフトウェアのダウンロードやインストールをユーザーの裁量に任せているような場合は、MSN Messengerがインストールされているかどうかを正しく調査し、早期対策する必要があるだろう。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
MSN Messenger 6.2 MSN Messenger 6.2.0〜6.2.207
 
MS05-023890169
Microsoft Wordの脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2005/04/13
MS Security# MS05-023
MSKB# 890169
対象環境 Microsoft Word 2000/2002/2003
修正される脆弱性 CAN-2004-0963
CAN-2005-0558
再起動 不要

セキュリティ・ホールの概要と影響度

 Microsoft Word(2000/2002/2003)に2つの脆弱性(未チェック・バッファ)があり、攻撃者によるリモート・コード実行や特権の昇格が可能になる。

  • Microsoft Wordのバッファ・オーバーラン(CAN-2004-0963):Wordに未チェック・バッファの脆弱性があり、攻撃者によるリモート・コード実行が可能である。メール添付やWebへの配置などで提供された攻撃用ファイルをユーザーが開くと攻撃が実行される。ユーザーが明示的にファイルを開かないかぎり攻撃は受けない。
  • Microsoft Wordのバッファ・オーバーラン(CAN-2005-0558):Wordに未チェック・バッファの脆弱性があり、攻撃者によるリモート・コード実行が可能である。メール添付やWebへの配置などで提供された攻撃用ファイルをユーザーが開くと攻撃が実行される。ユーザーが明示的にファイルを開かないかぎり攻撃は受けない。

 前者のCAN-2004-0963については、すでに脆弱性を攻撃する実証コードが公開されており、攻撃に悪用される危険性が高い。

 前述したとおり、いずれの脆弱性も、攻撃用Wordファイルをユーザーが明示的に開かないかぎり攻撃は受けない。出所不明のファイルを安易に開かないようにユーザーに警告した上で、修正プログラムの展開準備を進めよう。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Word 2000 Office 2000 SP3
Word 2002 Office XP SP2/SP3
Word 2003 Office 2003 SP未適用/SP1
Office XP SP2とOffice 2003 SP未適用は、管理者用修正プログラムのみ適用可能

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH