2004年04月14日(水) 23時56分
Windowsを完全に制御できる脆弱性 - Outlook Expressにも「緊急」の脆弱性(MYCOM PC WEB)
マイクロソフトは、月例の脆弱性情報を公開した。Windowsに任意のコードが実行される脆弱性など、最大深刻度「緊急」が3つ、同「重要」が1つと大きな脆弱性が公開されており、ユーザーは早急な修正パッチ適用が求められる。
「Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)」は、Windowsに存在する14個の脆弱性の修正パッチをまとめた累積パッチで、以下の脆弱性を修正する。
・LSASSの脆弱性
・LDAPの脆弱性
・PCTの脆弱性
・Winlogonの脆弱性
・メタファイルの脆弱性
・ヘルプとサポートの脆弱性
・ユーティリティマネージャの脆弱性
・Windows Managementの脆弱性
・Local Descriptor Tableの脆弱性
・H.323の脆弱性
・仮想 DOSマシンの脆弱性
・ネゴシエート SSPの脆弱性
・SSLの脆弱性
・ASN.1 "Double Free"の脆弱性
それぞれリモートで任意のコードが実行される、またはDoS攻撃、特権の昇格といった影響が考えられ、Windows 98/Me/NT4.0/2000/XP/Server 2003に脆弱性が存在する。OSのバージョンによって存在しない脆弱性があり、深刻度も異なるが、全体ではWindows 98/Meが「緊急ではない」、それ以外のOSが「緊急」と評価されている。
特にLDAPとSSLの脆弱性以外は、悪用されるとコンピュータの完全な制御が可能になってしまう脆弱性で、ファイアウォールを使うなどの回避策は存在するものの、修正パッチをインストールすれば、1度の再起動でまとめて修正が行われるため、至急の適用が推奨される。
「Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)」は、以前もリリースされた修正パッチの置き換えとなるもの。脆弱性が悪用されると、リモートでのコード実行、DoS攻撃、情報漏えいが発生する可能性がある。
(1)RPC ランタイム ライブラリの脆弱性(2)RPCSS サービスの脆弱性(3)COM インターネット サービス (CIS) - RPC over HTTP の脆弱性(4)オブジェクト ID の脆弱性--という4つの脆弱性を修正、対象となるOSはWindows 98/Me/NT4.0/2000/XP/Server 2003。特にWindows 2000/XP/Server 2003では全体の深刻度が「緊急」となっている。
(1)は特別な細工がされたメッセージの処理で問題が発生し、システムの完全な制御が奪われる。(2)は特定の条件でいったん解放されたメモリの再利用に失敗、(3)はリクエストの返信に特別に細工したメッセージを利用した場合、それ以降のリクエストを受け付けられなくなる。結果として、(2)と(3)ではDoS攻撃が起こりうる。(4)は、オブジェクトIDの作成方法に問題があり、アプリケーションに通信ポートを開かせ、予期しない通信が攻撃者によって行われる可能性がある。
(1)と(2)、(4)はファイアウォールで、また(2)と(3)はそれぞれDCOM、CIS、RPC over HTTPといった機能を無効にすることでも回避できるが、最終的にはパッチの適用が推奨される。
「Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)」は、Outlook Express 5.5 SP2/6に脆弱性が存在。すでにリリースされている複数の修正パッチと、新たに発見された脆弱性の修正パッチをまとめたもので、新しい脆弱性は「MHTML URL のプロセスの脆弱性」、深刻度は「緊急」だ。
これはOutlook Expressのプレビュー画面でHTML形式のメールを表示しただけでリモートからコードが実行される、というもの。Outlook Expressを使っていなくても、MHT形式のファイルを扱う場合にも影響を受ける。攻撃が成功すると完全な制御が取得されあらゆる攻撃が可能になるので、パッチの適用をおすすめする。
「Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)」は、同エンジンのバージョン4.0にバッファオーバーランの脆弱性が存在する。この脆弱性を利用すると、攻撃者がプログラムのインストールやデータの表示・削除、完全な特権を持つ新しいアカウントの作成など、完全な制御が可能になる。Windows 98/Me/NT4.0/2000/XP/Server 2003に影響し、最大深刻度はWindows 98/Meは「緊急ではない」、それ以外のOSは「重要」と評価されている。
Outlookの脆弱性が深刻度「重要」から「緊急」へ格上げ、影響がより広範に
http://pcweb.mycom.co.jp/news/2004/03/11/012.html
OutlookやMSN Messengerなどに脆弱性 - 任意のコード実行や情報漏えいなど
http://pcweb.mycom.co.jp/news/2004/03/10/009.html
Windowsにあらゆる攻撃を可能にする緊急の脆弱性 - パッチの適用が必須
http://pcweb.mycom.co.jp/news/2004/02/12/007.html
IEのURL偽装問題が解消へ - 任意のコードが実行される緊急の脆弱性修正も
http://pcweb.mycom.co.jp/news/2004/02/03/009.html
04年最初のセキュリティ情報は「緊急」「警告」「重要」- MS月例公開
http://pcweb.mycom.co.jp/news/2004/01/14/003.html
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/technet/security/bulletin/ms04-011.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
http://www.microsoft.com/technet/security/bulletin/ms04-012.asp
Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
http://www.microsoft.com/technet/security/bulletin/ms04-013.asp
Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)
http://www.microsoft.com/technet/security/bulletin/ms04-014.asp
マイクロソフト
http://www.microsoft.com/japan/
(MYCOM PC WEB)
http://headlines.yahoo.co.jp/hl?a=20040415-00000095-myc-sci