Easy management - our secret sauce. Watch the video tour.
HOME > セキュリティ情報 > Windowsのパッチ(11)、そのうち5つは 「緊急」レベル 2010年2月9日

Windowsのパッチ(11)、そのうち5つは 「緊急」レベル 2010年2月9日

Windows のパッチ(11)、そのうち5つは 「緊急」レベル

セキュリティアドバイザリ対象: SMB Client/TCP/IP/DirectShow、その他

危険度:

2010年2月9日

【概要】
  • 対象:
    最新版のWindowsとそれに搭載されているコンポーネント
  • 攻撃方法:
    細工したネットワーク・パケットを送信したり、悪質なメディアをユーザが開くように誘導するなど、攻撃方法はいくつもある
  • 影響:
    結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのパッチを至急インストールするか、Windows 自動アップデートで必要なパッチをインストールすること

【詳細】
米国時間の2月9日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響する19件以上の脆弱性について、セキュリティアドバイザリ11件をリリースした。各脆弱性がもたらす影響はWindowsのバージョンにより異なる。リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。 次に、危険度の高いものから順に脆弱性の概要を説明する。

マイクロソフトのセキュリティアドバイザリ一覧日本語

MS10-006
SMBクライアントのコード実行問題
マイクロソフトのServer Message Block (SMB)は、Windowsがファイルやプリント共有に使うプロトコルである。マイクロソフトによると、Windows SMBクライアントは2つのコード実行問題の影響を受けているという。各問題は技術的には異なるが、攻撃者は欠陥を悪用し、同じ方法でそれらを利用することができる。悪質なSMB サーバにユーザが接続するように誘導すると、攻撃者は欠陥を悪用して脆弱なWindows コンピュータを完全に操ることができるようになる。

マイクロソフトによる評価: 緊急

MS10-007
Shell ハンドラーのコード実行問題
Windows はWindows のShell アプリケーション・プログラミング・インターフェイス(API)を搭載している。APIとは、他のプログラムが特定のShell オペレーションを実行できるようにするものだが(プログラムの実行など)、Shell API機能の1つは(ShellExecute)データを適切に確認していないため、攻撃者はこの欠陥を利用してコードを実行することができる。さらに具体的に言うと、細工したウェブページにユーザを誘導することで攻撃者はWindows が不安定なAPI 機能を起動させ、ユーザのコンピュータで任意コードを実行するようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
マイクロソフトによる評価: 緊急

MS10-008
ActiveX Kill Bitの累積アップデート
マイクロソフトおよび外部のリサーチャー達は、様々なセキュリティ脆弱性の影響を受ける第三者のActive Xコントロールを確認している。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、Active Xコントロールのいずれかを悪用し、ユーザの権限を獲得した状態で、そのユーザのコンピュータでコードを実行する。その他のWindows脆弱性と同様に、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。このアップデートは脆弱なActiveXコントロールすべてのKill Bit を設定することで、それをWindowsで無効にすることができる。

マイクロソフトによる評価: 緊急

MS10-009
Windows TCP/IP スタック脆弱性(複数)
TCP/IP スタックは、Windows VistaとServer 2008に搭載されているが、3つのコード実行問題と、サービス拒否(DoS)問題1つの影響を受けている。どの場合においても、攻撃者は細工したTCP/IPパケットをユーザのWindowsコンピュータに送信することで欠陥を悪用することができる。3つのコード実行問題は、明らかに最大の脅威だが、状況を緩和させることで実社会でのリスクを大幅に減少させることが可能だ。例えば、欠陥のうち2つは、ユーザがIPv6 ネットワーキングを使用している場合に限り(そうしているユーザは少ない)、3つめの欠陥は、カスタム・ネットワーク・ドライバーをインストールしているユーザのみに影響している。攻撃者がユーザのWindowsにログインすることに成功すると、攻撃者は細工したプログラムを実行することができ、3件の脆弱性いづれかを悪用し、そのマシンを完全に操作できるようになる。一方で、攻撃者は細工したパケットをいくつか送信するだけで4つめの脆弱性を簡単に悪用することができる。しかし、攻撃者は欠陥を悪用してもWindowsコンピュータをクラッシュさせたり、再起動させたりすることしかできない。

マイクロソフトによる評価: 緊急

MS10-013
DirectShow ヒープ・バッファ・オーバーフロー問題
DirectShowはWindowsがグラフィックやメディアを表示するために使うDirectXコンポーネントの1つである。DirectShow は、細工された不正AVIビデオ・ファイルを処理できない点に関与するヒープ・バッファ・オーバーフロー問題の影響を受けている。悪質なビデオをユーザがダウンロードし、それを閲覧するように誘導したり、ビデオを埋め込んだウェブサイトに行くように仕向けたりした場合、攻撃者は欠陥を悪用して、ユーザの権限を持った状態でそのコンピュータにてコードを実行することができるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

マイクロソフトによる評価: 緊急

MS10-010
Windows Server 2008 x64 Hyper-V DoS 脆弱性
Hyper-V は、ハイパーバイザー・ベースのテクノロジーで、Windows Server 2008 およびServer 2008 R2において仮想化プラットフォームを提供するものである。しかしHyper-Vは、ゲスト仮想マシーン内の細工されたエンコード済みマシーン・インストラクションを解析する方法に関与するDoS脆弱性の影響を受けている。特別なプログラムをゲスト仮想マシーン内で実行することにより、攻撃者はこの欠陥を悪用してHyper-Vをロックアップすることができ、仮想化マシーンすべてが反応しなくなるようにすることができる。しかし、この欠陥を悪用するにおいて攻撃者は、まずゲスト仮想マシーンへのアクセス権を獲得しなければならない。この欠陥はx64バージョンのWindows サーバ 2008にのみ影響している。

マイクロソフトによる評価: 重要

MS10-011
CSRSS ローカル特権昇格の脆弱性
Client/Server Run-time SubSystem (CSRSS)は、不可欠なWindowsのコンポーネントで、Windowsコンソールやスレッドの作成・削除の責任を担っている。しかしこれはユーザがログアウトする際に適切にユーザ・プロセスを終了させていない。攻撃者は細工したプログラムを実行することでこの欠陥を利用し、権限昇格を行うとWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者がこの欠陥を悪用する場合は、まず有効なクレデンシャルを使って(ゲスト・アクセスでも可能)Windowsコンピュータへのローカル・アクセスを獲得しなければならない。

マイクロソフトによる評価:重要

MS10-012
SMB サーバの様々な脆弱性
先にも説明したように、Server Message Block (SMB)はWindowsがファイルやプリント共有に使うプロトコルだ。WindowsコンピュータはディフォルトでSMBサーバ・サービスを実行しているが、そのSMBサーバ・サービスは、4つの脆弱性の影響を受けている。細かくは、コード実行の欠陥(1)、DoS脆弱性(2)、権限昇格の問題(1)である。攻撃者は細工したSMBパケットを脆弱なPCに送信する方法で、欠陥4つをすべて同じ方法で悪用することができるが、各欠陥の活動範囲は大きく異なる。例えば、コード実行の脆弱性と聞くとかなりひどい問題のようだが、攻撃者は有効なユーザ・クレデンシャルで認証できた場合に限り脆弱性を悪用することができる。そして、2件のDoS脆弱性は、攻撃者が脆弱なシステムをロックアップすることだけを可能にする。最後に、攻撃者はSMB共有のアクセスを認証なしで可能にする権限昇格の欠陥を悪用することだけができ、コードが実行できるように問題を悪用することはできない。

マイクロソフトによる評価: 重要


MS10-014
Kerberos DoS の脆弱性
Kerberos は、サーバ版のWindowsが使用する認証プロトコルの1つである。Kerberos は、細工されたチケット・リニューアル・リクエストを適切に処理することができない点に関与するDoS脆弱性の影響を受けている。悪質なチケット・リニューアル・リクエストを送信することで、すでに認証済みの攻撃者はこの欠陥を悪用して脆弱なWindowsサーバをロックアップすることができるようになる。しかし、kerberosの有効なクレデンシャルを必要とする点は、この欠陥のリスクを大幅に緩和させている。

マイクロソフトによる評価: 重要

MS10-015
Windowsのカーネル権限昇格の脆弱性
カーネルはコンピューターのオペレーティング・システム(OS)の中核にあたるコンポーネントだ。Windowsカーネルは権限の昇格問題2件の影響を受けており、攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者はまずユーザのWindowsコンピュータで有効なクレデンシャルを使い、ローカル・アクセスを獲得する必要がある。そうした点は、この欠陥のリスクを大幅に緩和させている。

マイクロソフトによる評価: 重要

MS10-005
Microsoft Paintの整数のオーバーフロー脆弱性
Microsoft PaintはWindowsに搭載されているベーシックなペインティング・アプリケーションだが、JPEGイメージを解読する方法に関与する欠陥により、整数のオーバーフロー問題の影響を受けている。特にMS Paintプログラムを使った悪質なJPEGイメージをユーザが閲覧するように誘導した場合、攻撃者はこの脆弱性を悪用してユーザの権限を獲得し、そのユーザのコンピュータでコードを実行することができる。また、ユーザにローカル管理者の権限がある場合は、勿論ユーザのコンピュータを完全に操作できるようになる。

マイクロソフトによる評価: 中

【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することを勧める。又、Windowsの自動アップデート機能を使用して必要なパッチをダウンロードしインストールする方法もある。

日本語版をダウンロードする場合は、「Change Language:」のドロップダウンメニューで「Japanese」を選択すること:
MS10-006
MS10-007
注意:この他のWindowsバージョンにおいて、この脆弱性の影響はない。
MS10-008
MS10-009
MS10-013 MS10-010
MS10-011
MS10-012
MS10-014
MS10-015
MS10-005
【ウォッチガード・ユーザ】
攻撃者は様々な悪用方法を使って問題を悪用することができる。ファイアウォールが適切に設定されていれば、こうした問題が掲げるいくつかのリスクを緩和させることができる。特にSMB関連の脆弱性においては、Fireboxはディフォルトでネットワーク・アクセスを必要とする大方のマイクロソフトの欠陥を防いでいる。攻撃実行に必要なファイルタイプを阻止するように、Fireboxを設定することも可能。とはいっても、Fireboxがローカル攻撃からユーザを保護したり、通常のHTTPトラフィックを装う攻撃などは阻止することができないので、マイクロソフトが提供しているアップデートをインストールすることが最も安全な対策だ。

【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。

【参考資料】
マイクロソフトのセキュリティアドバイザリ一覧(日本語


この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。