Windows HotFix Briefings ALERT

セキュリティ情報
緊急レベル含む5個のセキュリティ修正が公開

―― 実証コード公開の報告あり ――

DA Lab Windowsセキュリティ
2006/04/18

 
本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2006年4月12日にMS06-013〜017の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は最も緊急性の高い「緊急」レベルが3件と「重要」が1件、「警告」が1件である。詳細な技術情報だけでなく、実証コードが公開されているものもあり、ウイルスやワーム、フィッシング・サイトへの悪用が懸念されるので、至急適用作業を開始する必要がある。

MS06-013912812
Internet Explorer 用の累積的なセキュリティ更新プログラム

最大深刻度 緊急
報告日 2006/04/12
MS Security# MS06-013
MSKB# 912812
対象環境 Internet Explorer 5.01 SP4、Internet Explorer 6 SP未適用/SP1
再起動 必要
HotFix Report BBSスレッド MS06-013

セキュリティ・ホールの概要と影響度

 MS06-013の修正プログラムは、リモートで任意のコードが実行される危険性のあるInternet Explorer(IE)の脆弱性を解消する。この修正プログラムはMS05-054/06-004およびMSKB 912945の修正を含む。

 MS06-013の修正プログラムは、CAN-2006-1359CAN-2006-1245CAN-2006-1388CAN-2006-1185CAN-2006-1186CAN-2006-1188CAN-2006-1189CAN-2006-1190CAN-2006-1191CAN-2006-1192の10件の脆弱性を解消する。これらの脆弱性は、細工されたWebページをユーザーに開かせる、あるいは細工されたHTMLメール内のリンクをユーザーにクリックさせることで実行される。悪用されると、IEやメール・クライアントの異常終了、システムの制御を乗っ取られる、リモートで任意のコードを実行される、といった危険性がある。実証コードや詳細な技術情報が公開されたものだけでなく、すでに攻撃が確認されている脆弱性も含まれるので危険度が高く、早急に修正プログラムを適用した方がよい。

HotFix Briefings(2006年3月10日版)
HotFix Briefings(2006年3月31日版)
HotFix Briefings(2006年4月14日版)

 ただし、MS06-013の修正プログラムには、MSKB 912945の修正が含まれる。この修正を適用すると、ActiveXコントロールを呼び出す際にユーザーの許可を求めるメッセージを表示するように変更される。

MSKB 912945の修正内容を適用したIEで、ActiveXコントロールを起動した場合に表示されるメッセージ
MSKB 912945の修正内容を適用したIEで、Flash Playerを使った広告を表示させたところ。メッセージにあるとおり、従来のように表示するにはユーザーによるクリックが必要となる。

 これにより、Flash PlayerやSun Java VMなどのActiveXコントロールが呼び出される際の挙動が変化する。そのため、IEだけでなく、ActiveXコントロールを利用した社内アプリケーションの動作に不具合が発生する可能性がある。ただしMSKB 912945の修正対象は、Windows XP SP2とWindows Server 2003 SP1のみである。

 この問題に対応するため、暫定的な措置としてMS06-013の修正プログラムを適用した後でもActiveXコントロールを従来の挙動にするための互換性パッチが公開された。この互換性パッチは、WSUS/SUS/Microsoft Update/Windows Updateにリストアップされず、ダウンロードセンターから入手する必要がある。

 Windows XP SP2、Windows Server 2003 SP1環境でMS06-013の修正プログラムの後にMSKB 917425の互換性パッチを適用した場合、以下に示すレジストリを設定することで、IEのActiveXコントロール呼び出しの挙動をMS06-013適用時の状態に戻すことができる。

レジストリ・キーの位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
Main\FeatureControl\FEATURE_ENABLE_ACTIVEX_INACTIVATE_MODE\
レジストリ値名 iexplorer.exe
レジストリ値(DWORD) 1
ActiveXコントロールの挙動を互換性パッチ適用前の状態に戻すレジストリ設定
レジストリ値名に任意のプログラム名を記述することで、設定したプログラムのプロセス内でActiveXコントロールを呼び出した際の挙動をMS06-013適用時の状態にすることができる。社内システムのテスト目的などで使用するときに設定するとよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 98/98SE/Me
Internet Explorer 6 SP1 Windows 2000 SP4、Windows XP SP1/SP1a
Internet Explorer 6 Windows XP SP2
Internet Explorer 6 Windows Server 2003 SP未適用/SP1/R2
 
MS06-014911562
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある

最大深刻度 緊急
報告日 2006/04/12
MS Security# MS06-014
MSKB# 911562
対象環境 MDAC 2.5 SP3、MDAC 2.7 SP1、MDAC 2.8 SP未適用/SP1/SP2
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-014

セキュリティ・ホールの概要と影響度

 MS06-014の修正プログラムは、MDAC(Microsoft Data Access Components)に含まれるRDS.DataSpaceのActiveXコントロールの脆弱性を解消する。RDSはActiveXデータ・オブジェクト(ADO)の機能の一種で、Webアプリケーションでイントラネットやインターネットを経由したODBCデータベースと連携する場合などで利用される。RDS.DataSpaceはHTTPプロキシのインスタンスを作成する際などに使用する。

 この脆弱性を発見したセキュリティ・ベンダのFinjanによれば、MS06-014の脆弱性を悪用されると、Webページのリンクをクリックすることにより、ローカルのユーザーの権限で任意のコードが実行される危険がある、とのことだ。詳細な技術情報や実証コードは公開されていないが、スパイウェアのインストールに悪用されることが懸念される。早急に修正プログラムを適用した方がよい。

Windows TIPS:MDACのバージョン調査ツールを利用する

 この修正プログラムをWindows Update/Microsoft Updateを利用しないで手動で適用する場合には、MDACのバージョンを調査する必要がある。MDACのバージョンは、Microsoft提供の無償ツールを入手して実行すれば取得できる。詳細は関連記事を参照していただきたい。

 MS06-014の修正プログラムは、MDACのバージョンとWindows OSのバージョンごとに異なるファイルで提供されているので、注意が必要である。また、修正プログラムの対象外となるMDAC 2.5 SP2以前、MDAC 2.6系列、MDAC 2.7 SP未適用は、この修正プログラムを適用するにあたり、バージョン・アップする必要がある。なおWindows 2000 SP4+MDAC 2.6/2.7 SP未適用の環境は特に注意が必要で、明示的にMDAC 2.7 SP1以降のバージョンをインストールする必要がある(そのほかの環境ではOSのService Packとともにバージョン・アップ可能)。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
MDAC 2.5 SP3 Windows 2000 SP4
MDAC 2.7 SP1 Windows 2000 SP4
MDAC 2.7 SP1 Windows XP SP1/SP1a
MDAC 2.8 SP未適用 Windows 98/98SE/Me
MDAC 2.8 SP未適用 Windows 2000 SP4
MDAC 2.8 SP未適用 Windows Server 2003 SP未適用
MDAC 2.8 SP1 Windows 98/98SE/Me
MDAC 2.8 SP1 Windows 2000 SP4
MDAC 2.8 SP1 Windows XP SP2
MDAC 2.8 SP2 Windows Server 2003 SP1/R2
 
MS06-015908531
Windows エクスプローラの脆弱性により、リモートでコードが実行される

最大深刻度 緊急
報告日 2006/04/12
MS Security# MS06-015
MSKB# 908531
対象環境 Windows 98/98SE/Me、Windows 2000/XP、Windows Server 2003
再起動 必要
HotFix Report BBSスレッド MS06-015

セキュリティ・ホールの概要と影響度

 MS06-015の修正プログラムは、エクスプローラに関するCAN-2006-0012CAN-2004-2289の脆弱性を解消する。また、MS06-015にはMS05-008/016の修正内容を含む。

 CVE-2006-0012についての詳細な技術情報や実証コードは公開されていないが、エクスプローラがCOMオブジェクトを処理する際にエラーが発生し、ユーザーによる操作がなくてもコードが実行されるというものだ。Windows XPおよびWindows Server 2003では、デフォルトでWebClientサービスが有効になっているので、細工されたWebページにアクセスしただけで攻撃が実行される危険がある。

 CVE-2004-2289の脆弱性は、細工されたDesktop.iniファイルの存在する共有フォルダにアクセスすると、そのフォルダ内の実行ファイルがログオンしているユーザー権限で自動的に実行されてしまうというもので、実証コードが公開されている。公開された実証コードはNetMeetingを実行してキー・ロガーをインストールしてしまうもので、悪用によるスパイウェアのインストールによる情報漏えいが懸念される。

 またMS06-015を適用するシステムに、Hewlett-Packard製のプリンタやスキャナなどに付属する「Share-to-Web」ソフトウェアなどがインストールされていると、Windowsシェルやエクスプローラが応答を停止する不具合の可能性が報告されている。

 この不具合は、MS06-015が新しいバージョンのVERCLSID.EXEをインストールするために起こる。Windowsシェルやエクスプローラがシェル拡張をインスタンス化する際に、このVERDLSID.EXEが検証する処理が原因である。この不具合が起こった場合には、タスクマネージャで該当するプロセスを停止するとともに、以下のレジストリを編集し、VERCLSID.EXEのプロセスを終了、あるいはシステムを再起動すればよい。

レジストリ・キーの位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\ CurrentVersion\Shell Extensions\
レジストリ値名 Cached
レジストリ値(DWORD) {A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046} 0x401
Share-to-Webソフトウェアがインストールされた環境でMS06-015を適用した際の不具合を解消するためのレジストリ

 MS06-015の脆弱性は、実証コードの存在する脆弱性を含んでおり、危険な状態である。至急修正プログラムを適用した方がよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE/Me Windows 98/98SE/Me
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
MS06-016911567
Outlook Express 用の累積的なセキュリティ更新プログラム

最大深刻度 重要
報告日 2006/04/12
MS Security# MS06-016
MSKB# 911567
対象環境 Outlook Express 5.5 SP2、Outlook Express 6 SP未適用/SP1
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS06-016

セキュリティ・ホールの概要と影響度

 MS06-016の修正プログラムは、Outlook ExpressのWindowsアドレス帳機能のバッファ・オーバーフローの脆弱性を解消する。この脆弱性を悪用されると、.wabファイルに仕込まれた任意のコードが実行されてしまう危険がある。

 Windowsアドレス帳は連絡先に関する情報を保管し、Outlook Expressなどのプログラムから利用するための機能で、Active Directoryなどのディレクトリ・サービスにアクセスして情報を検索する機能を提供する。Windowsアドレス帳は.wabファイルをデータ・ファイルとして使用するが、Windowsアドレス帳のデータ・ファイルである.wabファイル中でUnicode文字列の長さに関する変数を細工されると、バッファ・オーバーフローが起きる。

 マイクロソフトによれば、MS06-016の脆弱性は非公開で報告され、実証コードや攻撃例は確認されていないという。しかし修正プログラムが提供されたことから、攻撃コードが作成されることが懸念されるので、早期に修正プログラムを適用した方がよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Outlook Express 5.5 SP2 Windows 2000 SP4+Internet Explorer 5.01 SP4
Outlook Express 6 SP1 Windows 2000 SP4、Windows XP SP1/SP1a
Outlook Express 6 Windows XP SP2
Outlook Express 6 Windows Server 2003 SP未適用/SP1/R2
 
MS06-017917627
Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる

最大深刻度 警告
報告日 2006/04/12
MS Security# MS06-017
MSKB# 917627
対象環境 FrontPage Server Extensions 2002、SharePoint Team Services
再起動 必要(不要な場合あり)
HotFix Report BBSスレッド MS06-017

セキュリティ・ホールの概要と影響度

 MS06-017の修正プログラムは、FrontPage Server Extensions 2002(FPSE)とSharePoint Team Services(SPTS)のクロスサイト・スクリプティングの脆弱性を解消する。

 FPSEはInternet Information Services(IIS)でCGIなどを提供するための拡張ツールのセットである。FPSE 2002はWindows 2000 ServerおよびWindows XPには付属していないが、Windows Server 2003にはデフォルトで付属している(ただしデフォルトでは有効に設定されない)。SPTSはIISにインストールすることにより、情報共有のためのWebサイトを構築可能にする拡張機能である。SPTSは、すべての環境でデフォルトではインストールされていない。

 報告者であるセキュリティ・ベンダのArgenissのアドバイザリによると、FPSE 2002とSPTSに含まれるfpadmdll.dllに脆弱性が存在し、fpadmdll.dllに不正なパラメータを与えることにより、本来は許可されていない任意のスクリプトがユーザーのブラウザ上で実行されてしまうという。

 細工されたHTMLメールの送信や細工されたWebサイトをホストしてユーザーを誘導することにより、攻撃が実行される可能性がある。攻撃が実行されると、Cookieの読み書き、任意のコードの実行、Webセッションの監視といった操作が行われる危険がある。ただし、MS06-017の脆弱性は、ユーザー操作が悪用のための必須条件である。

 また、FPSE 2002およびSPTSが実行されているWebサーバは、脆弱性を攻撃されることにより、完全に制御を奪われる危険がある。インターネットに公開しているサーバでFPSE 2002やSPTSを利用している場合には、早期に修正プログラムを適用した方がよい。ただし、修正プログラムの適用によりWebサイトの挙動が変化する可能性もあるので、適用前に十分な検証を行った方がよい。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
FrontPage Server Extensions 2002 Windows Server 2003 SP未適用/SP1/R2
FrontPage Server Extensions 2002 Windows 2000 Server SP4、Windows XP SP1/SP1a/SP2
SharePoint Team Services Office XP SP3 for SharePoint Team Services
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間