WindowsやExchange Serverに「緊急」のセキュリティ・ホール

ITpro

2006.05.10

　マイクロソフトは5月10日，Exchange ServerやWindows，Windowsに同梱されているるFlash Playerに関するセキュリティ情報を3件公表した。細工が施されたWebサイトにアクセスするだけで被害を受けるセキュリティ・ホールを含む。最大深刻度は最悪の「緊急」。対策は更新プログラム（修正パッチ）の適用。「Microsoft Update」などから適用できる。

　今回公開されたセキュリティ情報は以下のとおり。5月5日の予告どおりに計3件公開され，最大深刻度は2件が「緊急」で，もう1件が「警告」（関連記事）。

（1）Microsoft Exchangeの脆弱性により，リモートでコードが実行される（916803）（MS06-019）

（2）AdobeのMacromedia Flash Playerの脆弱性により，リモートでコードが実行される（913433）（MS06-020）

（3）Microsoft Distributed Transaction Coordinator（MSDTC）の脆弱性によりサービス拒否が起こる（913580）（MS06-018）

　（1）は，Exchange 2000 ServerおよびExchange Server 2003が影響を受けるセキュリティ・ホール。これらには，vCal（仮想カレンダ）およびiCal（インターネットカレンダ）プロパティを持つ電子メールを適切に処理できないセキュリティ・ホールが存在する。vCalおよびiCalは，カレンダやスケジュールに関する情報を送信・交換する際に使用されるMIMEコンテンツ・タイプのこと。

　（1）により，細工が施されたメールをExchange Serverに送信されると，Exchange Serverが稼働するマシン上で任意のプログラムを実行される可能性がある。その結果，同マシンを事実上乗っ取られる可能性がある。危険なセキュリティ・ホールなので，マイクロソフトでは最大深刻度を「緊急」に設定している。

　（2）は，Windowsに同梱されているMacromedia Flash Playerに関するセキュリティ情報。Flash Playerはアドビシステムズの製品であり，マイクロソフトの製品ではない。

　Flash Playerには，細工が施されたFlashファイル（.swf）を読み込もうとするだけで任意のプログラムを実行される危険なセキュリティ・ホールが3月中旬に見つかっている（関連記事）。アドビではセキュリティ・ホール情報を公表するとともに，セキュリティ・ホールを修正するためのアップデートを公開済み。

　マイクロソフトでも，このセキュリティ・ホールの概要や回避策などをまとめたセキュリティアドバイザリを3月中旬に公開している。今回マイクロソフトが公開したのは，Windows XPならびにWindows 98／98SE／Meに同梱されているFlash Player用の修正パッチ（アップデート）。アドビが提供するアップデートを適用していれば，（2）のセキュリティ・ホールは既に解消されている。

　（3）は，Windowsのサービスの一つであるMSTDC（Microsoft Distributed Transaction Coordinator）サービスに関するセキュリティ・ホール。MSTDCサービスには未チェックのバッファが存在する。このため，細工が施されたデータを送信されると，MSTDCサービスが応答しなくなる可能性がある。つまり，DoS（サービス妨害）攻撃を受ける可能性がある。

　ただし今回のセキュリティ・ホールを突かれても，任意のプログラムを実行されたり，ユーザーの権限昇格を許したりすることはないという。また，攻撃によりMSTDCが応答を停止した場合でも，MSTDCに依存していないサービスは問題なく動作し続ける。このため，（3）の危険性はそれほど大きくはない。マイクロソフトでは，（3）の最大深刻度を，4段階評価で上から3番目（下から2番目）の「警告」に設定している。

　影響を受けるのは，Windows 2000／XP／Server 2003。Windows XP SP2も影響を受ける。ただし，Windows Server 2003 SP1は影響を受けない。

対策は修正パッチの適用

　いずれのセキュリティ・ホールについても，対策は修正パッチを適用すること。いずれのパッチについても，Microsoft Updateから適用できる（Windows 98／98SE／Me用の修正パッチを除く）。自動更新機能を有効にしていれば自動的に適用される。加えて，それぞれのセキュリティ情報のページからも修正パッチをダウンロードできる。

　（1）のパッチについて，マイクロソフトのセキュリティチームによるブログでは，Exchange Serverが稼働するサーバー・マシンの自動更新の設定によっては，意図しないタイミングでサーバーが再起動することになるので，設定を再確認することを勧めている。

　また，「サポート技術情報 916803」には，（1）の修正パッチ適用時に発生する可能性がある問題やその解決策が記載されているので，Exchange Serverマシンの管理者はパッチ適用前に目を通しておきたい。

　（2）の修正パッチは，Windows XPならびにWindows 98／98SE／Me用。Windows 98／98SE／Me用のパッチは，「Windows Update」からのみ適用できる。

　これら以外のWindowsでFlash Playerを利用している場合には，アドビが提供するアップデートを適用する必要がある。また，セキュリティチームのブログによれば，最新のFlash Playerを使用している場合でも，セキュリティ・ホールの影響を受ける古いバージョンのFlash Playerのモジュールは残っているので，今回の修正パッチをインストールすることを勧めている。

【5月10日追記】マイクロソフトのセキュリティチームのブログによれば，当初は上記パラグラフのように，最新のFlash Playerを使用している場合でも今回の修正パッチをインストールすることを勧めていたが，5月10日，「最新のFlash Player を使用している場合は，古いバージョンの Flash Player のモジュールは残りますが，インストールの必要はありません」と訂正した。【以上，5月10日追記】

　なお，Internet Explorerには第三者によって明らかにされた修正パッチ未公開のセキュリティ・ホールが存在するが，それに関するパッチは今回は公開されなかった（関連記事）。

　マイクロソフトは同日，ウイルスなどを検出駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版も公開した。新版では，「Evaman」「Ganda」「Plexus」に新たに対応した。対象OSは，Windows 2000／XP／Server 2003。ダウンロードセンターやMicrosoft Updateから入手できる。Windows XPとServer 2003 SP1についてはWindows Updateからも適用可能である。

◎参考資料
◆2006年5月のセキュリティ情報
◆Microsoft Distributed Transaction Coordinator（MSDTC）の脆弱性によりサービス拒否が起こる（913580）（MS06-018）
◆Microsoft Exchange の脆弱性により，リモートでコードが実行される（916803）（MS06-019）
◆AdobeのMacromedia Flash Playerの脆弱性により，リモートでコードが実行される（913433）（MS06-020）
◆5月のセキュリティリリース & Internet Explorer 7 (beta 2)
◆APSB06-03 Flash Player 脆弱性を解決するアップデート
◆マイクロソフトセキュリティアドバイザリ (916208) Adobe Security Bulletin: APSB06-03 セキュリティの脆弱性を解決するためのFlash Playerの更新