Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル1個のセキュリティ修正が公開

―― トロイの木馬の報告あり ――

DA Lab Windowsセキュリティ
2006/01/11

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 マイクロソフトは、月例の修正プログラム公開日の直前である2006年1月6日、MS06-001の脆弱性情報を公表し、セキュリティ修正プログラムの提供を開始した。最大深刻度は最も緊急性の高い「緊急」レベルである。すでに実証コードだけではなく、トロイの木馬をインストールするように仕掛けたWebページへの悪用が確認されているので、至急に適用作業を開始する必要がある。

MS06-001912919
Graphics Rendering Engine にリモートでコードが実行される脆弱性

最大深刻度 緊急
報告日 2006/01/06
MS Security# MS06-001
MSKB# 912919
対象環境 Windows 2000 SP4、Windows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1
再起動 必要
HotFix Report BBSスレッド MS06-001

セキュリティ・ホールの概要と影響度

 WindowsのGraphics Rendering Engine(画像処理エンジン)がWMF(Windows Meta File)形式の画像データを処理する過程に未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険がある。MS06-001は、この脆弱性を修正するために急遽公開された修正プログラムである。すでに実証コードが公開され、攻撃サイトが複数確認されていることから、マイクロソフトは攻撃被害の危険性が高いと判断し、月例のセキュリティ修正よりも先に提供することを決定した模様だ。Graphics Rendering Engineを原因とする脆弱性はMS05-053でも修正されているが、MS06-001の脆弱性の原因はこれとは異なる。MS06-001の修正プログラムは、MS05-053の修正プログラムを含まないので注意が必要だ(MS06-001とMS05-053はそれぞれ別々に適用する必要がある)。

HotFixBriefings ALERT(2005年11月15日版)

 MS06-001の修正プログラムは、CAN-2005-4560の脆弱性を解消する。細工されたWMF形式の画像を表示すると、最悪の場合、コンピュータの制御が完全に奪われる危険性がある。攻撃者は、細工を施したWMF形式の画像をWebページやメール添付の画像として配布し、ユーザーに開かせることにより、MS06-001の脆弱性を悪用できてしまう。すでにこれらの脆弱性を突く画像を生成するための実証コードが数多く公開されており、脆弱性を悪用するトロイの木馬(TROJ_NASCENEとその亜種)や、攻撃用Webサイトなどが確認されていることから、早急に修正プログラムを適用する必要がある。

 セキュリティ・ベンダ各社が発表したアドバイザリによれば、Graphics Rendering EngineのコンポーネントであるGDI32.DLLを直接呼び出すタイプのアプリケーションでも脆弱性を悪用される危険があるとしている。また、Linux上でWindowsのAPIをエミュレーションするWineにも、この脆弱性が確認されているという。

 WMF形式は、16bitのベクトル形式およびラスタ形式の画像を格納できるフォーマットである。また画像データだけでなく、画像情報と付随する外部プログラムの呼び出しを定義するフィールドが用意されている。この外部プログラムの呼び出しを定義するMETA ESCAPEレコードのSETABORTPROCレコード・タイプの処理に脆弱性が存在し、特殊な定義を行うと任意の関数を実行できるようになる。これを悪用すると、細工したWMF形式の画像をユーザーに表示させ、任意のコードを実行させることが可能になる。

 Graphics Rendering Engine(GDI32.DLL)が画像を処理する際には、画像の拡張子ではなくファイル・ヘッダをもとに画像形式を識別し、画像形式ごとのレンダリング処理を行う。そのため、拡張子がJPGなどとなっていても、実体がWMF形式である場合にはWMF画像として処理される。攻撃用に細工されたWMF形式の画像が、JPGなどの拡張子に変更されている可能性もある。そしてWindows XPおよびWindows Server 2003では、細工された画像を含むWebページを閲覧すると、自動的に「Windows画像とFAXビューア」アプレット(Shimgvw.dll)が動作し、任意のコードが実行されてしまうので危険性が高い。

 MS06-001の修正プログラムを適用することにより、WMF形式の画像に埋め込まれたMETA ESCAPEレコードのSETABORTPROCレコード・タイプは参照できなくなる。ただし、アプリケーション上でSetAbortProc() APIを使用したABORTPROC機能(スプール中の印刷ジョブ取り消し時などに呼び出されるコールバック機能)の利用は、従来どおりサポートされる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。Windows 98/98SE/Meについては脆弱性の危険度が緊急ではないため、修正プログラムは提供されない。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間