Windows 5つのパッチ、15件のセキュリティ・ホールに対応 2009年4月14日
Windows 5つのパッチ、15件のセキュリティ・ホールに対応
危険度:高
2009年4月14日
【概要】
対象:
最新版のWindows(Microsoft Wordに影響するものが1件)
攻撃方法:
悪質なウェブサイトにユーザを誘導したり、細工されたドキュメントやメディア・ファイルをユーザに開かせるようにするなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の4月14日、マイクロソフトはWindowsそしてそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報15件をリリースした。そのうち1件の脆弱性は、マイクロソフトのWordパッケージに影響を与えている。各脆弱性がもたらす影響はWindowsバージョンにより異なるものの、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-010:
WordPad やOffice コンバーターに見られる複数の脆弱性
Windows WordPadやMicrosoft Wordに搭載されているテキスト・コンバーターは、4つのセキュリティ脆弱性の影響を受けている。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は、細工されたWord やWordPerfect ドキュメント(.DOC)をユーザが開くように誘導し、リモート攻撃者は脆弱性を悪用してユーザの権限を備えた状態で、そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限が与えられていた場合、攻撃者はこのような欠陥を利用してユーザのPCを完全に操作できるようになる。
マイクロソフトによる評価:緊急
MS09-013:
HTTP サービスの脆弱性(3)
Windowsに搭載されているHTTP Services (WinHTTP)はアプリケーション・プログラミング・インターフェイス(API)で、WindowsソフトウェアにHTTPクライアント機能をディベロッパーが追加する場合に役立つのだが、そのWinHTTPはセキュリティ脆弱性3件の影響を受けている。中でも悪質な脆弱性は、整数アンダーフロー脆弱性に関与している(整数オーバーフローに似ている問題)。攻撃者はユーザを悪質なウェブサイトに誘導するためにWinHTTPに依存するプログラムをユーザが使うように仕向け、脆弱性を悪用してユーザの権限を備えた状態でそのユーザのコンピュータでコードを実行することができる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。WindowsのUPnPPはWinHTTPを利用するため、攻撃者はローカルSSDリクエストに応答することで、この欠陥を使う可能性がある。他2件の欠陥には、セカンド・リモートコード実行の脆弱性や、攻撃者のDNSスプーフィング攻撃を援助する証明書の偽造欠陥などがある。
マイクロソフトによる評価:緊急
MS09-011:
DirectShow MJPEG解凍の脆弱性
DirectShowは、Windows ユーザがストリーミング・メディアを閲覧する場合に役立つDirectXコンポーネントだ。しかし、そのDirectShowは細工されたMJPEGファイル(AVIファイルで使われることがある特別なメディア形式)を正しく解凍することができず、その点に関与する未特定の脆弱性の影響を受けている。攻撃者は、細工された動画(.AVI)をユーザが閲覧するように仕向け、この脆弱性を悪用してユーザの権限を備えた上で、そのユーザのコンピュータでコードを実行する。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
マイクロソフトによる評価:緊急
MS09-012:
Windowsの様々なコンポーネントに見られる権限昇格の脆弱性(4)
それぞれ異なる4つのWindowsコンポーネントが、様々な特権昇格の脆弱性(EoP)の影響を受けている。この4つの欠陥は技術的には異なるが、その行動範囲と影響は同様である。攻撃者は、細工されたプログラムを実行させることでユーザのWindowsシステムの1つにおいて特権を昇格させることができる。この場合、悪用する欠陥により攻撃者が獲得できる特権は異なる。最悪の場合は、攻撃者が「LocalSystem」の特権を獲得しユーザのPCを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行するには被害者のコンピュータでローカル・アクセス権を必要とするため、この脆弱性は主に内部攻撃対象となる。
マイクロソフトによる評価:重要
MS09-015:
SearchPath特権昇格の脆弱性
マイクロソフトはこの脆弱性の技術詳細に関する説明を提供しておらず、「Internet ExplorerはWindows システムのアプリケーション・ライブラリがある場所により、細工されたファイルをデスクトップで開くことができる」というような点についてのみ説明している。この脆弱性は、今日リリースされたInternet Explorer累積パッチのセキュリティ情報でも説明されていた欠陥の1つに関与しているようである。つまり、攻撃者は悪質なファイルをユーザがダウンロードするように仕向け、そのファイルをユーザのデスクトップに保存しアプリケーションをスタートさせて、悪質なファイルを開く。そうすると攻撃者はこの未特定の欠陥を悪用してユーザのシステムでコードを実行、そのコンピュータを完全に操作できるようになる可能性がある。しかし、これを成功させるにはユーザのインタラクションが必要となるため、このリスクは大きなものではない。
マイクロソフトによる評価:中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-010:
MS09-013:
MS09-012:
ウォッチガード・ユーザ:
この脆弱性(.DOC や.AVI)に関連するファイル・タイプをいくつかブロックするようにウォッチガードのFireboxを設定し、脅威を軽減することができる。しかしそうすることで、同じファイル・タイプでも問題のないファイルにもユーザがアクセスできなくなる点に注意すること。また、攻撃者はその他の脆弱性をローカルまたは通常のHTTPトラフィック経由で悪用することができるため、パッチを使うことを強くすすめる。
こうした脆弱性に関与しているいくつかのファイル・タイプをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で.AVI や.DOC拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。
危険度:高
2009年4月14日
【概要】
対象:
最新版のWindows(Microsoft Wordに影響するものが1件)
攻撃方法:
悪質なウェブサイトにユーザを誘導したり、細工されたドキュメントやメディア・ファイルをユーザに開かせるようにするなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の4月14日、マイクロソフトはWindowsそしてそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報15件をリリースした。そのうち1件の脆弱性は、マイクロソフトのWordパッケージに影響を与えている。各脆弱性がもたらす影響はWindowsバージョンにより異なるものの、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-010:
WordPad やOffice コンバーターに見られる複数の脆弱性
Windows WordPadやMicrosoft Wordに搭載されているテキスト・コンバーターは、4つのセキュリティ脆弱性の影響を受けている。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は、細工されたWord やWordPerfect ドキュメント(.DOC)をユーザが開くように誘導し、リモート攻撃者は脆弱性を悪用してユーザの権限を備えた状態で、そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限が与えられていた場合、攻撃者はこのような欠陥を利用してユーザのPCを完全に操作できるようになる。
マイクロソフトによる評価:緊急
MS09-013:
HTTP サービスの脆弱性(3)
Windowsに搭載されているHTTP Services (WinHTTP)はアプリケーション・プログラミング・インターフェイス(API)で、WindowsソフトウェアにHTTPクライアント機能をディベロッパーが追加する場合に役立つのだが、そのWinHTTPはセキュリティ脆弱性3件の影響を受けている。中でも悪質な脆弱性は、整数アンダーフロー脆弱性に関与している(整数オーバーフローに似ている問題)。攻撃者はユーザを悪質なウェブサイトに誘導するためにWinHTTPに依存するプログラムをユーザが使うように仕向け、脆弱性を悪用してユーザの権限を備えた状態でそのユーザのコンピュータでコードを実行することができる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。WindowsのUPnPPはWinHTTPを利用するため、攻撃者はローカルSSDリクエストに応答することで、この欠陥を使う可能性がある。他2件の欠陥には、セカンド・リモートコード実行の脆弱性や、攻撃者のDNSスプーフィング攻撃を援助する証明書の偽造欠陥などがある。
マイクロソフトによる評価:緊急
MS09-011:
DirectShow MJPEG解凍の脆弱性
DirectShowは、Windows ユーザがストリーミング・メディアを閲覧する場合に役立つDirectXコンポーネントだ。しかし、そのDirectShowは細工されたMJPEGファイル(AVIファイルで使われることがある特別なメディア形式)を正しく解凍することができず、その点に関与する未特定の脆弱性の影響を受けている。攻撃者は、細工された動画(.AVI)をユーザが閲覧するように仕向け、この脆弱性を悪用してユーザの権限を備えた上で、そのユーザのコンピュータでコードを実行する。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
マイクロソフトによる評価:緊急
MS09-012:
Windowsの様々なコンポーネントに見られる権限昇格の脆弱性(4)
それぞれ異なる4つのWindowsコンポーネントが、様々な特権昇格の脆弱性(EoP)の影響を受けている。この4つの欠陥は技術的には異なるが、その行動範囲と影響は同様である。攻撃者は、細工されたプログラムを実行させることでユーザのWindowsシステムの1つにおいて特権を昇格させることができる。この場合、悪用する欠陥により攻撃者が獲得できる特権は異なる。最悪の場合は、攻撃者が「LocalSystem」の特権を獲得しユーザのPCを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行するには被害者のコンピュータでローカル・アクセス権を必要とするため、この脆弱性は主に内部攻撃対象となる。
マイクロソフトによる評価:重要
MS09-015:
SearchPath特権昇格の脆弱性
マイクロソフトはこの脆弱性の技術詳細に関する説明を提供しておらず、「Internet ExplorerはWindows システムのアプリケーション・ライブラリがある場所により、細工されたファイルをデスクトップで開くことができる」というような点についてのみ説明している。この脆弱性は、今日リリースされたInternet Explorer累積パッチのセキュリティ情報でも説明されていた欠陥の1つに関与しているようである。つまり、攻撃者は悪質なファイルをユーザがダウンロードするように仕向け、そのファイルをユーザのデスクトップに保存しアプリケーションをスタートさせて、悪質なファイルを開く。そうすると攻撃者はこの未特定の欠陥を悪用してユーザのシステムでコードを実行、そのコンピュータを完全に操作できるようになる可能性がある。しかし、これを成功させるにはユーザのインタラクションが必要となるため、このリスクは大きなものではない。
マイクロソフトによる評価:中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-010:
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
MS09-013:
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
- Windows 2000対象
- Windows XP対象
- Windows XP x64
- Windows Server 2003対象
- Windows Server 2003 x64対象
- Windows Server 2003 Itanium対象
MS09-012:
- Windows 2000対象
- Windows XP対象
- Windows XP x64
- Windows Server 2003対象
- Windows Server 2003 x64対象
- Windows Server 2003 Itanium対象
- Windows Vista対象
- Windows Vista x64対象
- Windows Server 2008対象
- Windows Server 2008 x64対象
- Windows Server 2008 Itanium対象
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
ウォッチガード・ユーザ:
この脆弱性(.DOC や.AVI)に関連するファイル・タイプをいくつかブロックするようにウォッチガードのFireboxを設定し、脅威を軽減することができる。しかしそうすることで、同じファイル・タイプでも問題のないファイルにもユーザがアクセスできなくなる点に注意すること。また、攻撃者はその他の脆弱性をローカルまたは通常のHTTPトラフィック経由で悪用することができるため、パッチを使うことを強くすすめる。
こうした脆弱性に関与しているいくつかのファイル・タイプをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で.AVI や.DOC拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
- マイクロソフトのセキュリティ情報:MS09-010
- マイクロソフトのセキュリティ情報:MS09-011
- マイクロソフトのセキュリティ情報:MS09-012
- マイクロソフトのセキュリティ情報:MS09-013
- マイクロソフトのセキュリティ情報:MS09-015
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。