ウィンドウズのセキュリティ問題(6件) 2008年6月10日
ウィンドウズのセキュリティ問題(6件)
危険度:高
2008年6月10日
【概要】
・対象:
全バージョンのウィンドウズ
・悪用方法:
細工したパケットを送信したり、ユーザーにメディア・ファイルをダウンロードさせ、それを再生させるなど様々な攻撃方法がある。
・影響:
最悪の場合、攻撃者はユーザーのウィンドウズ・コンピューターを完全に操作できるようになるなど様々な結果がある。
・対策:
状況に適したマイクロソフトのパッチを至急インストールすること。
【詳細】
米国時間の6月11日、マイクロソフトはウィンドウズ、及びウィンドウズに搭載されているコンポーネントに影響する問題について、セキュリティ情報を6件リリースした。各脆弱性が対象としているバージョンやその影響は様々だが、リモート攻撃者は中でも悪質なケースにおいてユーザーのウィンドウズPCを完全に操ることができるようになる。
次に、危険度の高い脆弱性から順番にそれぞれの概要について説明する。
MS08-033 :
DirectXのリモート・コード実行問題(2)
DirectXはマルチメディア・コンテンツを作成するためにプログラマーが使用するアプリケーション・プログラミング・インターフェイス(API)群で、全バージョンのウィンドウズに搭載されている。だが、マイクロソフトによるとDirectXは特定のメディア・コンテンツ処理に関与する2つのセキュリティ問題の影響を受けているという。技術的には異なるものの、どちらのセキュリティ問題も同じ性質を持っており、攻撃者は細工したマルチメディア・ファイルをユーザーにダウンロードさせ、それを開かせるように誘導することでいずれかの脆弱性を悪用し、ユーザーのコンピューターでコードを実行、ユーザーの権限を獲得する。通常、ウィンドウズ・ユーザーにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピューターを完全に操作することができるようになる。このセキュリティ問題の主な相違点は、攻撃者がどのマルチメディア・ファイルを悪用するかに関与している。危険性があるファイルは[Synchronized Accessible Media Interchange files (.sami)]、[MJPEF video files (.asf, .avi)]などである。
マイクロソフトの評価:緊急
MS08-030:
Bluetoothスタックのコード実行問題
Bluetoothワイヤレス接続スタンダードをサポートするため、ウィンドウズには独自のBluetoothスタックが搭載されている。マイクロソフトのセキュリティ情報によると、Windows Bluetoothスタックは大量のサービス説明の要求(service description request)を正確に処理しないことから、リモートでコードが実行される問題の影響を受けているという。攻撃者は、ユーザーにそうしたリクエストを大量に送信することで欠陥を悪用し、ユーザーの権限を備えた上で、そのコンピューターでコードを実行することができる。ユーザーにローカル管理者の権限が与えられていた場合、攻撃者はこの脆弱性を利用してユーザーのPCを完全に操作できるようになる(言うまでもないが、この脆弱性の対象はBluetoothがあるウィンドウズのみである)。
マイクロソフトの評価:緊急
MS08-034:
WINS権限の昇格問題
ウィンドウズ・インターネット・ネーム・サービス(WINS)は、NetBIOSネームをTCP/IPネットワークのアドレスに変換するウィンドウズ・サービスだ。しかしWINSは、細工されたWINSネットワーク・パケット内のデータ構造を正しくチェックできない権限の昇格問題の影響を受けている。攻撃者は、細工されたパケットをウィンドウズ・コンピューターに送信することで脆弱性を悪用し、完全なシステム権限を備えた上で、そのコンピューターでコードを実行する。つまり、攻撃者はそのマシーンを完全に操作できるようになる。
マイクロソフトの評価:重要
MS08-035:
アクティブ・ディレクトリーのサービス拒否問題
アクティブ・ディレクトリーは、ウィンドウズ・コンピューターで集中認証や認証サービスを提供するウィンドウズのコンポーネントだ。アクティブ・ディレクトリーはウィンドウズ・サーバーで実行されるが、アクティブ・ディレクトリー・アプリケーション・モード(ADAM)サービスとしてウィンドウズ・クライアントでも見られる。マイクロソフトのセキュリティ情報は、細工されたLDAPパケットをアクティブ・ディレクトリーが処理する方法に関与する未特定のサービス拒否問題について注意を呼び掛けている。リモート攻撃者は、悪性のLDAPリクエストを送信することで脆弱性を悪用し、ウィンドウズ・コンピューターを動かなくさせたり、再起動させたりする原因となる。攻撃者は脆弱性の悪用を継続し攻撃を維持する間、ユーザーのウィンドウズ・マシーンをオフラインにしておくことができる。しかし、大方の管理者はLDAPトラフィック(TCPポート389及びポート3268)がペリミター・ファイアウォールを通過できないようにしているため、この問題は主に内部脅威となる。Windows Server 2008にも影響することを除けば、この新たなセキュリティ問題は、ライブセキュリティが2月に警告したウィンドウズの問題とよく似ている(MS08-003)。
マイクロソフトの評価:重要
MS08-036:
Pragmatic General Multicast (PGM)のサービス拒否問題
マイクロソフトはPragmatic General Multicast (PGM)は、確実で拡張可能なマルチキャスト・プロトコルであると述べているが、自由な書き込みによってまとめられているオンライン百科事典のWikipedia(ウィキペディア)によると、PGMはIETFの実験用プロトコルで、まだスタンダードではないと説明されている。マイクロソフトのセキュリティ情報は、マイクロソフトのPGM実装で見られた2件のDoS問題について説明している。細工したPGMパケットを送信することで、リモート攻撃者はいずれかの脆弱性を悪用し、ユーザーのウィンドウズ・コンピューターが動かないようにしたり、再起動したりする原因となる。攻撃者は攻撃を維持する間、ユーザーのウィンドウズ・マシーンをオフラインにしておけるように脆弱性を繰り返し悪用することができる。しかしPGMは、ウィンドウズ・コンピューターにおいてディフォルトで有効にされていない。
マイクロソフトの評価:重要
MS08-032:
音声認識機能のコード実行問題
ウィンドウズには、音声によるコマンドをマイクを通してウィンドウズ・コンピューターに送ることができる音声認識機能が搭載されている。研究者達によると攻撃者はユーザーが音声ファイルを再生するように誘導することで音声認識機能を悪用し、ユーザーの権限を備えた状態でそのコンピューターでコードを実行することができるという。ウェブページに音声を埋め込むことが可能であるため、攻撃者は悪性のウェブサイトにユーザーを誘導することでこの欠陥を悪用できる。しかし、ウィンドウズでは音声認識がディフォルトで有効にされていないことや、その他の点を考慮すると、この欠陥のリスクは大幅に軽減される。
マイクロソフトの評価:警告
【対策】
マイクロソフトは、こうした問題を修正するためにウィンドウズ対象の修正プログラムをリリースしている。状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意:
マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することを勧める。
ダウンロード先(日本語版)
MS08-033 :
DirectX 7.0 for Windows 2000
DirectX 8.1 for Windows 2000
DirectX 9.0
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
DirectX 10.0
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
MS08-030:
XP
XP x64
Vista
Vista x64
Windows 2000、Server 2003、Server 2008への影響はない
MS08-034:
Windows 2000 Server
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
サーバー・バージョン以外のWindowsやServer 2008への影響はない
MS08-035:
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Active Directory update
ADAM update
Windows Server 2003 x64
Active Directory update
ADAM update
Windows Server 2003 Itanium
Windows Server 2008
Windows Server 2008 x64
MS08-036:
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
Windows 2000への影響はなし
MS08-032:
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
ウォッチガード・ユーザー:
ウォッチガードのFireboxは、こうしたいくつかの脆弱性に伴うリスクをディフォルトで緩和させることができる。しかしトラフィックがファイアウォールを通過せずに攻撃者がローカルで悪用できるものも多々あるため、前述のパッチを導入することを強く勧める。
【ステータス】
マイクロソフトはこの問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ更新情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度:高
2008年6月10日
【概要】
・対象:
全バージョンのウィンドウズ
・悪用方法:
細工したパケットを送信したり、ユーザーにメディア・ファイルをダウンロードさせ、それを再生させるなど様々な攻撃方法がある。
・影響:
最悪の場合、攻撃者はユーザーのウィンドウズ・コンピューターを完全に操作できるようになるなど様々な結果がある。
・対策:
状況に適したマイクロソフトのパッチを至急インストールすること。
【詳細】
米国時間の6月11日、マイクロソフトはウィンドウズ、及びウィンドウズに搭載されているコンポーネントに影響する問題について、セキュリティ情報を6件リリースした。各脆弱性が対象としているバージョンやその影響は様々だが、リモート攻撃者は中でも悪質なケースにおいてユーザーのウィンドウズPCを完全に操ることができるようになる。
次に、危険度の高い脆弱性から順番にそれぞれの概要について説明する。
MS08-033 :
DirectXのリモート・コード実行問題(2)
DirectXはマルチメディア・コンテンツを作成するためにプログラマーが使用するアプリケーション・プログラミング・インターフェイス(API)群で、全バージョンのウィンドウズに搭載されている。だが、マイクロソフトによるとDirectXは特定のメディア・コンテンツ処理に関与する2つのセキュリティ問題の影響を受けているという。技術的には異なるものの、どちらのセキュリティ問題も同じ性質を持っており、攻撃者は細工したマルチメディア・ファイルをユーザーにダウンロードさせ、それを開かせるように誘導することでいずれかの脆弱性を悪用し、ユーザーのコンピューターでコードを実行、ユーザーの権限を獲得する。通常、ウィンドウズ・ユーザーにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピューターを完全に操作することができるようになる。このセキュリティ問題の主な相違点は、攻撃者がどのマルチメディア・ファイルを悪用するかに関与している。危険性があるファイルは[Synchronized Accessible Media Interchange files (.sami)]、[MJPEF video files (.asf, .avi)]などである。
マイクロソフトの評価:緊急
MS08-030:
Bluetoothスタックのコード実行問題
Bluetoothワイヤレス接続スタンダードをサポートするため、ウィンドウズには独自のBluetoothスタックが搭載されている。マイクロソフトのセキュリティ情報によると、Windows Bluetoothスタックは大量のサービス説明の要求(service description request)を正確に処理しないことから、リモートでコードが実行される問題の影響を受けているという。攻撃者は、ユーザーにそうしたリクエストを大量に送信することで欠陥を悪用し、ユーザーの権限を備えた上で、そのコンピューターでコードを実行することができる。ユーザーにローカル管理者の権限が与えられていた場合、攻撃者はこの脆弱性を利用してユーザーのPCを完全に操作できるようになる(言うまでもないが、この脆弱性の対象はBluetoothがあるウィンドウズのみである)。
マイクロソフトの評価:緊急
MS08-034:
WINS権限の昇格問題
ウィンドウズ・インターネット・ネーム・サービス(WINS)は、NetBIOSネームをTCP/IPネットワークのアドレスに変換するウィンドウズ・サービスだ。しかしWINSは、細工されたWINSネットワーク・パケット内のデータ構造を正しくチェックできない権限の昇格問題の影響を受けている。攻撃者は、細工されたパケットをウィンドウズ・コンピューターに送信することで脆弱性を悪用し、完全なシステム権限を備えた上で、そのコンピューターでコードを実行する。つまり、攻撃者はそのマシーンを完全に操作できるようになる。
マイクロソフトの評価:重要
MS08-035:
アクティブ・ディレクトリーのサービス拒否問題
アクティブ・ディレクトリーは、ウィンドウズ・コンピューターで集中認証や認証サービスを提供するウィンドウズのコンポーネントだ。アクティブ・ディレクトリーはウィンドウズ・サーバーで実行されるが、アクティブ・ディレクトリー・アプリケーション・モード(ADAM)サービスとしてウィンドウズ・クライアントでも見られる。マイクロソフトのセキュリティ情報は、細工されたLDAPパケットをアクティブ・ディレクトリーが処理する方法に関与する未特定のサービス拒否問題について注意を呼び掛けている。リモート攻撃者は、悪性のLDAPリクエストを送信することで脆弱性を悪用し、ウィンドウズ・コンピューターを動かなくさせたり、再起動させたりする原因となる。攻撃者は脆弱性の悪用を継続し攻撃を維持する間、ユーザーのウィンドウズ・マシーンをオフラインにしておくことができる。しかし、大方の管理者はLDAPトラフィック(TCPポート389及びポート3268)がペリミター・ファイアウォールを通過できないようにしているため、この問題は主に内部脅威となる。Windows Server 2008にも影響することを除けば、この新たなセキュリティ問題は、ライブセキュリティが2月に警告したウィンドウズの問題とよく似ている(MS08-003)。
マイクロソフトの評価:重要
MS08-036:
Pragmatic General Multicast (PGM)のサービス拒否問題
マイクロソフトはPragmatic General Multicast (PGM)は、確実で拡張可能なマルチキャスト・プロトコルであると述べているが、自由な書き込みによってまとめられているオンライン百科事典のWikipedia(ウィキペディア)によると、PGMはIETFの実験用プロトコルで、まだスタンダードではないと説明されている。マイクロソフトのセキュリティ情報は、マイクロソフトのPGM実装で見られた2件のDoS問題について説明している。細工したPGMパケットを送信することで、リモート攻撃者はいずれかの脆弱性を悪用し、ユーザーのウィンドウズ・コンピューターが動かないようにしたり、再起動したりする原因となる。攻撃者は攻撃を維持する間、ユーザーのウィンドウズ・マシーンをオフラインにしておけるように脆弱性を繰り返し悪用することができる。しかしPGMは、ウィンドウズ・コンピューターにおいてディフォルトで有効にされていない。
マイクロソフトの評価:重要
MS08-032:
音声認識機能のコード実行問題
ウィンドウズには、音声によるコマンドをマイクを通してウィンドウズ・コンピューターに送ることができる音声認識機能が搭載されている。研究者達によると攻撃者はユーザーが音声ファイルを再生するように誘導することで音声認識機能を悪用し、ユーザーの権限を備えた状態でそのコンピューターでコードを実行することができるという。ウェブページに音声を埋め込むことが可能であるため、攻撃者は悪性のウェブサイトにユーザーを誘導することでこの欠陥を悪用できる。しかし、ウィンドウズでは音声認識がディフォルトで有効にされていないことや、その他の点を考慮すると、この欠陥のリスクは大幅に軽減される。
マイクロソフトの評価:警告
【対策】
マイクロソフトは、こうした問題を修正するためにウィンドウズ対象の修正プログラムをリリースしている。状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意:
マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することを勧める。
ダウンロード先(日本語版)
MS08-033 :
DirectX 7.0 for Windows 2000
DirectX 8.1 for Windows 2000
DirectX 9.0
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
DirectX 10.0
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
MS08-030:
XP
XP x64
Vista
Vista x64
Windows 2000、Server 2003、Server 2008への影響はない
MS08-034:
Windows 2000 Server
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
サーバー・バージョン以外のWindowsやServer 2008への影響はない
MS08-035:
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Active Directory update
ADAM update
Windows Server 2003 x64
Active Directory update
ADAM update
Windows Server 2003 Itanium
Windows Server 2008
Windows Server 2008 x64
MS08-036:
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
Windows 2000への影響はなし
MS08-032:
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 Itanium
Windows Server 2003 x64
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 Itanium
Windows Server 2008 x64
ウォッチガード・ユーザー:
ウォッチガードのFireboxは、こうしたいくつかの脆弱性に伴うリスクをディフォルトで緩和させることができる。しかしトラフィックがファイアウォールを通過せずに攻撃者がローカルで悪用できるものも多々あるため、前述のパッチを導入することを強く勧める。
【ステータス】
マイクロソフトはこの問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ更新情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。