ウィンドウズに影響する悪性のイメージとウェブサイト 2008年4月8日
ウィンドウズに影響する悪性のイメージとウェブサイト
危険度:高
日付:2008年4月8日
【概要】
・対象:
現バージョンのウィンドウズ(IEが対象となる可能性もあり)。
・悪用方法:
悪性のウェブ・ページにユーザーを誘い込んだり、細工した画像をユーザーに開かせるなど様々な攻撃方法がある。
・影響:
様々な結果があるが中でも悪質な場合は攻撃者がユーザーのウィンドウズ・コンピューターを完全にコントロールできるようになる。
・対策:
状況に適したマイクロソフトの修正プログラムを至急インストールすること。
【詳細】
米国時間の4月8日、マイクロソフトはウィンドウズ、及びウィンドウズに搭載されているコンポーネントに影響する問題について、セキュリティ情報を5件リリースした。脆弱性は対象となるウィンドウズ・バージョンで各範囲に影響する。中でも悪質なケースにおいては、攻撃者が欠陥を悪用してユーザーのウィンドウズPCを完全にコントロールできる。
次に、危険度の高い脆弱性から順番にそれぞれの概要について説明する。
MS08-021:
GDIバッファ・オーバーフロー問題(2)
GDI)は、モニターやプリンターへグラフィックを出力するために使うウィンドウズのコンポーネントの1つだ。マイクロソフトの情報によると、このGDIはウィンドウズ・メタファイル(WMF)や強化されたメタファイルである(EMF)イメージ形式の処理法に関与する2つのバッファ・オーバフローの影響を受けているという。細工したWMFやEMFのイメージをユーザーに開かせることに成功すると、攻撃者は欠陥を悪用してユーザーの権限を獲得し、被害者のコンピューターでコードを実行できるようになる。ユーザーにローカル管理者の権限が付いていた場合、攻撃者はそのコンピューターを完全にコントロールできる。このセキュリティ問題はVistaやServer 2008を含むウィンドウズの現バージョン全体に影響している。
マイクロソフトの評価: 緊急
MS08-022:
VBScript/JScript コード実行の問題
VBScript)やJscriptは、どちらもマイクロソフトのスクリプト言語でダイナミック・ウェブサイトを制作する際によく使われる。しかし、こうしたスクリプト言語を解読するために使うエンジンが未特定の脆弱性の影響を受けているとマイクロソフトは警告している。細工したスクリプトを入れた悪性のウェブサイトにユーザーを引き寄せると、攻撃者は脆弱性を悪用してユーザーのコンピューターでコードを実行することができる。このコードは、被害者であるユーザーの権限を攻撃者が備えた状態で実行される。ユーザーにローカル管理者の権限が付いていた場合、攻撃者はユーザーのPCを完全にコントロールできるようになる。
マイクロソフトの評価: 緊急
MS08-023:
ActiveX コントロールのメモリー破壊問題
ウィンドウズに搭載されているActiveXコントロール(hxvz.dll)は、未特定のメモリー破壊問題の影響を受けている。悪性のウェブ・ページにユーザーを誘い込むことに成功すると、攻撃者はこのセキュリティ欠陥を悪用してユーザーの権限を獲得し、そのコンピューターでコードを実行することができる。ウィンドウズにおけるコード実行の欠陥と同様、ユーザーにローカル管理者の権限があった場合、攻撃者は欠陥を悪用してユーザーのコンピューターを完全にコントロールすることが可能になる。
注意:第三者であるベンダーのActiveXコントロールに見られる脆弱性も修正するため、マイクロソフトがリリースした修正プログラムはYahooのミュージック・ジュークボックスActiveXコントロールも無効にするようになっている。
マイクロソフトの評価: 緊急
MS08-020:
DNS クライアントの偽造(なりすまし)問題
この問題について、マイクロソフトのセキュリティ情報には次のように記されている。「ウィンドウズDNSクライアントは、DNSクエリを実行する際に任意選択のトランザクション・バリューにおいて十分なエントロピーを提供しない」。つまり言い換えれば、DNSクライアントは、攻撃者が被害者のDNSクエリに関する情報を簡単に推測できるようにしてしまうため、攻撃者は適切に形式化した偽造(なりすまし)のDNS応答を送信できる、という意味だ。DNSは、インターネットでコンピューターがどのように情報を探し出すかコントロールする。例えば、攻撃者がユーザーのDNSクエリを監視し、偽造した応答を送信することができる場合、攻撃者はそれらを正当なサイトから悪性なサイトへリダイレクトすることもできる。その場合、攻撃者は脆弱性を昇格させ、ユーザーに悪性のドライブバイ・ダウンロードや偽造サイトを強制することができるようになる。
マイクロソフトの評価: 重要
MS08-025:
ウィンドウズ・カーネル権限の昇格問題
カーネルはオペレーティング・システムの中核部であり、ハードウェアとソフトウェア間の機能における基本的レイヤーを提供する。ところが、このウィンドウズ・カーネルは、オペレーティング・システムのユーザーレベルによる特定入力を確認できないという点に関与する、未特定の権限の昇格問題の影響を受けている。攻撃者は、細工したプログラムを実行することで脆弱性を悪用し、ウィンドウズ・システムで完全なSYSTEMレベルの権限を獲得することができる。つまり、これにより攻撃者はフル・コントロール権を備えることができるようになる。しかし攻撃を成功させるには、ウィンドウズ・コンピュータへの有効なログイン情報とアクセスが必要となる。
マイクロソフトの評価: 重要
【対策】
マイクロソフトは、こうした問題を修正するためにウィンドウズ対象の修正プログラムをリリースしている。状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意:
マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは、今後の脆弱性 へのリスクを軽減させるためにもサポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することをすすめる。
ダウンロード先(日本語版)
MS08-021:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
MS08-022:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista やServer 2008への影響はない。
MS08-023:
2000 w/SP4
IE 5.01のセキュリティ・アップデート
IE 6 のセキュリティ・アップデート
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
MS08-020:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista
Vista x64
Vista w/SP1 やServer 2008への影響はない。
MS08-025:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
ウォッチガード・ユーザー:
ウォッチガードFireboxのHTTPやSMTPプロキシーを設定し、リスクを軽減できるものもあるが、その他の脆弱性は通常のHTTPトラフィック経由を使ったり(HTTPトラフィックは、ユーザーがウェブを利用するには許可しておかなければならない)、ローカルで悪用されたりする。こうした理由から、上記した修正プログラムを導入することをすすめる。
【ステータス】
マイクロソフトは修正プログラムをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-020
マイクロソフトのセキュリティ情報:MS08-021
マイクロソフトのセキュリティ情報:MS08-022
マイクロソフトのセキュリティ情報:MS08-023
マイクロソフトのセキュリティ情報:MS08-025
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。
危険度:高
日付:2008年4月8日
【概要】
・対象:
現バージョンのウィンドウズ(IEが対象となる可能性もあり)。
・悪用方法:
悪性のウェブ・ページにユーザーを誘い込んだり、細工した画像をユーザーに開かせるなど様々な攻撃方法がある。
・影響:
様々な結果があるが中でも悪質な場合は攻撃者がユーザーのウィンドウズ・コンピューターを完全にコントロールできるようになる。
・対策:
状況に適したマイクロソフトの修正プログラムを至急インストールすること。
【詳細】
米国時間の4月8日、マイクロソフトはウィンドウズ、及びウィンドウズに搭載されているコンポーネントに影響する問題について、セキュリティ情報を5件リリースした。脆弱性は対象となるウィンドウズ・バージョンで各範囲に影響する。中でも悪質なケースにおいては、攻撃者が欠陥を悪用してユーザーのウィンドウズPCを完全にコントロールできる。
次に、危険度の高い脆弱性から順番にそれぞれの概要について説明する。
MS08-021:
GDIバッファ・オーバーフロー問題(2)
GDI)は、モニターやプリンターへグラフィックを出力するために使うウィンドウズのコンポーネントの1つだ。マイクロソフトの情報によると、このGDIはウィンドウズ・メタファイル(WMF)や強化されたメタファイルである(EMF)イメージ形式の処理法に関与する2つのバッファ・オーバフローの影響を受けているという。細工したWMFやEMFのイメージをユーザーに開かせることに成功すると、攻撃者は欠陥を悪用してユーザーの権限を獲得し、被害者のコンピューターでコードを実行できるようになる。ユーザーにローカル管理者の権限が付いていた場合、攻撃者はそのコンピューターを完全にコントロールできる。このセキュリティ問題はVistaやServer 2008を含むウィンドウズの現バージョン全体に影響している。
マイクロソフトの評価: 緊急
MS08-022:
VBScript/JScript コード実行の問題
VBScript)やJscriptは、どちらもマイクロソフトのスクリプト言語でダイナミック・ウェブサイトを制作する際によく使われる。しかし、こうしたスクリプト言語を解読するために使うエンジンが未特定の脆弱性の影響を受けているとマイクロソフトは警告している。細工したスクリプトを入れた悪性のウェブサイトにユーザーを引き寄せると、攻撃者は脆弱性を悪用してユーザーのコンピューターでコードを実行することができる。このコードは、被害者であるユーザーの権限を攻撃者が備えた状態で実行される。ユーザーにローカル管理者の権限が付いていた場合、攻撃者はユーザーのPCを完全にコントロールできるようになる。
マイクロソフトの評価: 緊急
MS08-023:
ActiveX コントロールのメモリー破壊問題
ウィンドウズに搭載されているActiveXコントロール(hxvz.dll)は、未特定のメモリー破壊問題の影響を受けている。悪性のウェブ・ページにユーザーを誘い込むことに成功すると、攻撃者はこのセキュリティ欠陥を悪用してユーザーの権限を獲得し、そのコンピューターでコードを実行することができる。ウィンドウズにおけるコード実行の欠陥と同様、ユーザーにローカル管理者の権限があった場合、攻撃者は欠陥を悪用してユーザーのコンピューターを完全にコントロールすることが可能になる。
注意:第三者であるベンダーのActiveXコントロールに見られる脆弱性も修正するため、マイクロソフトがリリースした修正プログラムはYahooのミュージック・ジュークボックスActiveXコントロールも無効にするようになっている。
マイクロソフトの評価: 緊急
MS08-020:
DNS クライアントの偽造(なりすまし)問題
この問題について、マイクロソフトのセキュリティ情報には次のように記されている。「ウィンドウズDNSクライアントは、DNSクエリを実行する際に任意選択のトランザクション・バリューにおいて十分なエントロピーを提供しない」。つまり言い換えれば、DNSクライアントは、攻撃者が被害者のDNSクエリに関する情報を簡単に推測できるようにしてしまうため、攻撃者は適切に形式化した偽造(なりすまし)のDNS応答を送信できる、という意味だ。DNSは、インターネットでコンピューターがどのように情報を探し出すかコントロールする。例えば、攻撃者がユーザーのDNSクエリを監視し、偽造した応答を送信することができる場合、攻撃者はそれらを正当なサイトから悪性なサイトへリダイレクトすることもできる。その場合、攻撃者は脆弱性を昇格させ、ユーザーに悪性のドライブバイ・ダウンロードや偽造サイトを強制することができるようになる。
マイクロソフトの評価: 重要
MS08-025:
ウィンドウズ・カーネル権限の昇格問題
カーネルはオペレーティング・システムの中核部であり、ハードウェアとソフトウェア間の機能における基本的レイヤーを提供する。ところが、このウィンドウズ・カーネルは、オペレーティング・システムのユーザーレベルによる特定入力を確認できないという点に関与する、未特定の権限の昇格問題の影響を受けている。攻撃者は、細工したプログラムを実行することで脆弱性を悪用し、ウィンドウズ・システムで完全なSYSTEMレベルの権限を獲得することができる。つまり、これにより攻撃者はフル・コントロール権を備えることができるようになる。しかし攻撃を成功させるには、ウィンドウズ・コンピュータへの有効なログイン情報とアクセスが必要となる。
マイクロソフトの評価: 重要
【対策】
マイクロソフトは、こうした問題を修正するためにウィンドウズ対象の修正プログラムをリリースしている。状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意:
マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは、今後の脆弱性 へのリスクを軽減させるためにもサポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することをすすめる。
ダウンロード先(日本語版)
MS08-021:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
MS08-022:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista やServer 2008への影響はない。
MS08-023:
2000 w/SP4
IE 5.01のセキュリティ・アップデート
IE 6 のセキュリティ・アップデート
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
MS08-020:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista
Vista x64
Vista w/SP1 やServer 2008への影響はない。
MS08-025:
2000 w/SP4
XP w/SP2
XP x64
Server 2003
Server 2003 x64
Server 2003 Itanium-Edition
Vista w/SP1
Vista x64 w/SP1
Server 2008
Server 2008 x64
Server 2008 Itanium-Edition
ウォッチガード・ユーザー:
ウォッチガードFireboxのHTTPやSMTPプロキシーを設定し、リスクを軽減できるものもあるが、その他の脆弱性は通常のHTTPトラフィック経由を使ったり(HTTPトラフィックは、ユーザーがウェブを利用するには許可しておかなければならない)、ローカルで悪用されたりする。こうした理由から、上記した修正プログラムを導入することをすすめる。
【ステータス】
マイクロソフトは修正プログラムをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-020
マイクロソフトのセキュリティ情報:MS08-021
マイクロソフトのセキュリティ情報:MS08-022
マイクロソフトのセキュリティ情報:MS08-023
マイクロソフトのセキュリティ情報:MS08-025
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。