ウィンドウズのアップデート

危険度：高

2008年8月12日


【概要】

対象：
全バージョンのWindows

攻撃方法：
悪性の画像をユーザーにダウンロードさせ、それを閲覧するように誘導したり細工したパケットを送信するなど、様々な攻撃方法がある。

影響：
様々な結果があるが最悪の場合、攻撃者はユーザーのWindowsコンピューターを完全に操作できるようになる。

対策：
状況に適したマイクロソフトのパッチを至急インストールすること。


【詳細】

米国時間の8月12日、マイクロソフトはWindowsや搭載されているコンポーネントに影響している問題について5件のセキュリティ情報をリリースした。各セキュリティ問題は、異なるバージョンのWindowsに対しそれぞれの範囲で影響を及ぼしているが、リモート攻撃者は中でも悪質な欠陥を悪用しユーザーのWindows PCを完全に操作できるようになる。

次に危険性の高いものから順に、各問題の概要について説明する。

• MS08-046：
  Microsoft Image Color Management (ICM) のバッファ・オーバーフロー問題
  
  Image Color Management (ICM)は、色の変換を行うためにICCプロフィールのデータを使用するWindowsのコンポーネントだが、ICMはバッファ・オーバーフロー問題の影響を受けている。攻撃者は悪性の画像ファイルをユーザーに開かせることでこの脆弱性を悪用し、ユーザーのコンピューターでコードを実行、ユーザーの権限を受け継ぐ可能性がある。また、攻撃者は悪性の画像ファイルをウェブサイトに載せることもできる。通常Windowsユーザーにはローカル管理者の権限が付いているが、その場合、攻撃者は被害者のコンピューターを完全に操作できるようになるおそれがある。
  
  マイクロソフトの評価：緊急



• MS08-049：
  イベント・システムのコード実行問題（2）
  
  Windowsサービスのイベント・システムは、異なるアプリケーションがWindowsオペレーティング・システムに送信するイベント・ログを管理する（ログはイベント・ビューアで閲覧可能）。だが、このイベント・システムは不正形式で作成されたイベント・リクエストや、サブスクリプションを正確に処理できない点に関与する2つのセキュリティ問題の影響を受けている。攻撃者はイベント・リクエストをイベント・システムに送信するアプリケーションを作成することで、いずれかの欠陥を悪用しWindows PCを完全に操作することができるようになる。攻撃者がその悪性プログラムを実行するには、被害者のコンピューターへのアクセスと、ログインに必要な資格が有効でなければならない。
  
  マイクロソフトの評価：重要



• MS08-048：
  Outlook ExpressとWindows Mailクロスドメイン情報開示の問題
  
  Outlook Express (OE)とWindows Mailはそれぞれ異なるバージョンのWindowsに搭載されているメール・クライアントだが、これらは両メール・クライアントのプロトコル・ハンドラーがMHTMLURLを解釈する方法に起因するクロスドメイン情報開示問題の影響を受けている（クロスサイト・スクリプティング攻撃に似ている）。この脆弱性はOEおよびMailのものだが、攻撃者はインターネット・エクスプローラ（IE）経由でこれを誘発することができる。攻撃者は悪性のウェブ・ページにユーザーを誘導することでこの脆弱性を悪用し、別のIEセキュリティ・ドメインやローカル・コンピューターからデータを読み取ることができる。
  
  マイクロソフトの評価：重要



• MS08-050：
  Windows Messenger の情報開示問題
  
  Windows MessengerはWindowsに搭載されているインスタント・メッセージ（IM）クライアントだ。マイクロソフトによると、Messengerはスクリプティング・セーフとされているActiveXコントロールと共に搭載されているという。つまり、ウェブサイトはこのコントロールを使ってスクリプトを実行することができるのだが、残念なことにこれは情報開示問題に繋がる。攻撃者はユーザーを悪性のウェブ・ページに誘導し、脆弱性を悪用してユーザーのMessengerチャット・クライアントを操作することが可能になる。また、攻撃者はユーザーのMessengerに使うログインIDを獲得してユーザーの連絡先にアクセスしたり、新たなオーディオやビデオ・チャット・セッションをユーザーに気づかれずにスタートさせることができる。しかし、IEおよびWindows 2003のセキュリティ機能は、こうした種類のリスクをある程度まで緩和させることができる。
  
  マイクロソフトの評価：重要



• MS08-047：
  IPSec 情報開示問題
  
  IPsecはWindowsに搭載されているセキュリティ暗号化プロトコルで、ネットワーク上で交わされるコミュニケーションを安全にするための仮想プライベート・ネットワーク・トンネル（VPN)の作成を可能にする。攻撃者がローカル・ネットワーク・トラフィックを嗅ぎ付けると、IPsec ポリシーがユーザーのローカル・ネットワークから他のコンピューターに送信されている際に、攻撃者がそれを変更する可能性がある。例えば、攻撃者はポリシーを変更してVPNトラフィックを暗号化しないようにすることもできるが、通常IPsecは暗号化された状態でネットワークで送信される。攻撃者にユーザーのドメイン・コントローラーへの管理用アクセスがあった場合、またはユーザーがIPsec ルール・セットを誤って設定し、クリアな状態で情報が送信されてしまうようになっている場合のみ、攻撃者はこの問題を悪用することができる。つまり、この脆弱性のリスクを軽減させる事柄は多々あるためリスクは大幅に低くなる。
  
  マイクロソフトの評価：重要

【対策】

マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体にインストールすること。

《ダウンロード先》

注意：日本語版をダウンロードするには、ドロップダウン・メニューから[Japanese]を選択。

MS08-046：

Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium

MS08-049：

Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium

MS08-048：

Outlook Express 5.5 for Windows 2000

Outlook Express 6.0：
Windows 2000
Windows XP SP3
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium

Windows Mail：
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium

MS08-050:

Windows Messenger 4.7:
Windows XP SP3
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium

Windows Messenger 5.1全バージョンのWindows対象

MS08-047：

Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium

ウォッチガード・ユーザー対象：

ウォッチガードのFireboxはディフォルトでこうしたセキュリティ脆弱性のリスクを緩和させるようになっているが、攻撃者はトラフィックがユーザーのファイアウォールを通過しないなど、様々な問題をローカルで悪用することができる。このため、上述のパッチをインストールすることを強く勧める。


【ステータス】

マイクロソフトはこの問題を修正するパッチをリリースしている。


【参考資料】

マイクロソフトのセキュリティ情報：一覧


この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）によって調査され書かれた記事です。ご感想・リクエストは日本語でyour.opinion.matters@watchguard.comまでご連絡下さい。