マイクロソフトは6月15日,WindowsやInternet Explorer(IE)に見つかったセキュリティ・ホールやセキュリティ更新プログラム(パッチ)を公開した。Webページを閲覧するだけ,あるいはネットに接続しているだけで被害に遭うような危険なセキュリティ・ホールが複数含まれる。すべてのWindowsユーザーが影響を受けるので,「Windows Update」を実施するなどして早急にパッチを適用したい。
今回公開されたセキュリティ情報は10件。マイクロソフトが事前に告知した通りである(関連記事)。このうち,セキュリティ・ホールの危険度を表す「最大深刻度」が最悪の「緊急」に設定されているものが3件,上から2番目の「重要」が4件,上から3番目(下から2番目)の「警告」が3件だった。
「緊急」は3件,すべてのWindowsが対象
最大深刻度が「緊急」のセキュリティ情報は以下の3件。
(1)Internet Explorer 用の累積的なセキュリティ更新プログラム (883939) (MS05-025)
(2)HTML ヘルプの脆弱性により,リモートでコードが実行される (896358) (MS05-026)
(3)サーバー メッセージ ブロックの脆弱性により,リモートでコードが実行される (896422) (MS05-027)
(1)の「MS05-025」の影響を受けるのは,Windows 98/98 SE/Me/2000/XP/Server 2003。(1)には,IEに関するセキュリティ・ホールが2種類含まれる。一つはPNG画像の取り扱いに関するもの。細工が施されたPNG画像を読み込むと,画像に含まれる悪質なプログラム(例えばウイルス)を実行させられる可能性がある。つまり,そのような画像を含むWebページやHTMLメールを開くだけで被害を受ける。
もう一つは,パソコン中のファイルを盗み見される可能性があるセキュリティ・ホール。具体的には,細工が施されたWebページやHTMLメールを開くと,ユーザーのローカル・ファイルを攻撃者にアクセスされる(閲覧される)可能性がある。
(2)の「MS05-026」の影響を受けるのは,Windows 98/98 SE/Me/2000/XP/Server 2003。いずれについても深刻度は「緊急」だが,Windows Server 2003 SP1についてのみ「重要」に設定されている。
(2)は,Windowsの「HTML ヘルプ」に関するセキュリティ・ホール。細工が施されたWebページにアクセスするだけで悪質なプログラムを実行させられる可能性がある。
(3)の「MS05-027」の影響を受けるのは,Windows 2000/XP/Server 2003。Windows 98/98 SE/Meは影響を受けない。
(3)は,ファイル共有などを行うためのプロトコル「SMB(サーバー・メッセージ・ブロック)」の実装に関するセキュリティ・ホール。受信SMBパケットをきちんと検証しない場合がある。このため,細工が施されたSMBパケットを送信されると,悪質なプログラムを勝手に実行される可能性がある。
企業ネットワークでは,ファイルウオールなどで外部からのSMBパケットをフィルタリングしている(TCPポート 139 および 445をふさいでいる)ケースがほとんどなので,インターネット経由で攻撃を受ける可能性は低い。ただし,フィルタリングしていない場合には外部からセキュリティ・ホールを突かれる恐れがある。また,同じネットワークからの攻撃を回避することは難しい。このため,できるだけ早急にパッチを適用して対策したい。
WindowsやExchange Serverに「重要」のホール
最大深刻度が上から2番目の「重要」に設定されているセキュリティ情報は以下の4件。
「緊急」のセキュリティ・ホール同様,マシン上で任意のプログラムを実行されるようなセキュリティ・ホールが含まれるが,ユーザーのアクションを必要としたり,セキュリティ・ホールを悪用できるユーザーや環境が限定されたりしている。「緊急」とは異なり,Webページを見たり,ネットに接続したりするだけで被害を受けることはない。このため,1ランク低い「重要」に設定されている。
(4)WebClient サービスの脆弱性により,リモートでコードが実行される (896426) (MS05-028)
(5)Exchange Server 5.5 の Outlook Web Access の脆弱性により,クロスサイト スクリプティング攻撃が行われる (895179) (MS05-029)
(6)Outlook Express 用の累積的なセキュリティ更新プログラム (897715) (MS05-030)
(7)ステップ バイ ステップの対話型トレーニングの脆弱性により,リモートでコードが実行される (898458) (MS05-031)
(4)の「MS05-028」の影響を受けるのはWindows XP/Serer 2003。深刻度は,XPは「重要」,Server 2003では「警告」。ただし,XP SP2およびServer 2003 SP1を適用している場合には影響を受けない。
(4)はWebClientサービスに関するセキュリティ・ホールである。悪用されると,マシン上で任意のプログラムを実行させられる可能性がある。ただし,悪用できるのはそのマシンにログオンできるユーザーのみ。匿名ユーザーがリモートから悪用することは困難とされている。
また,Windows Server 2003では,WebClientサービスはデフォルトで無効になっている。管理者が手動で有効にしている場合だけ影響を受ける。
(5)の「MS05-029」はExchange Server 5.5が影響を受ける。パッチの適用対象は Exchange Server 5.5 SP4。
(5)はクロスサイト・スクリプティングのセキュリティ・ホールである。悪用されると,Exchange Server Outlook Web Access(OWA)が稼働するサイトのコンテキストで悪質なスクリプトを実行させられる恐れがある。
(6)の「MS05-030」の影響を受けるのは,Windows 98/98 SE/Me/2000/XP/Server 2003で稼働するOutlook Express。ただし,XP SP2およびServer 2003 SP1環境では影響を受けない。また,Windows 98/98 SE/Me環境については,深刻度が「緊急ではない」に設定されているのでパッチは用意されない(詳細は,同社が公開するセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問」の項を参照のこと)。
Outlook ExpressのNNTP(Network News Transfer Protocol)を取り扱うコンポーネントにバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,Outlook Expressで細工が施されたニュースグループ・サーバーへアクセスすると,任意のプログラムを実行させられる可能性がある。ただし,ユーザー自身がそのサーバーを利用するようにOutlook Expressを設定した場合のみ影響を受ける。
(7)の「MS05-031」の影響を受けるのは,Windows 98/98 SE/Me/2000/XP/Server 2003。ただし,Windows XP SP2やWindows Server 2003 SP1は影響を受けない。
(7)は,「ステップバイステップ対話型トレーニング」ソフトウエアに関するセキュリティ・ホール。Windowsマシンの多くにプレインストールされている可能性が高い「ステップバイステップ対話型トレーニング」ソフトウエアにはバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施された「対話型トレーニング ブックマーク ファイル (.cbo, cbl, .cbm ファイル) 」をユーザーが開くと,中に仕込まれた任意のプログラムを実行させられる。
Windows Services for UNIXやISA Serverには「警告」
WindowsやWindows Services for UNIX,ISA Serverには「警告」のセキュリティ・ホールが見つかっている。Webサイトのなりすましや情報漏えいなどを許す可能性がある。任意のプログラムを実行されるような恐れはないが,できるだけパッチを適用しておきたい。
(8)Microsoft エージェントの脆弱性により,なりすましが行われる (890046) (MS05-032)
影響を受けるのは,Windows 98/98 SE/Me/2000/XP/Server 2003。Windows 98/98 SE/Meの深刻度は「緊急ではない」ため,パッチは用意されない
(9)Telnet クライアントの脆弱性により,情報漏えいが起こる (896428) (MS05-033)
Windows XP/Server 2003が影響を受ける。また,Windows 2000 上で実行されている Microsoft Windows Services for UNIX 3.5/3.0/2.2も影響を受ける。
(10)ISA Server 2000 用の累積的なセキュリティ更新プログラム (899753) (MS05-034)
影響を受けるのは,Internet Security and Acceleration (ISA) Server 2000。パッチの適用対象はISA Server 2000 SP2。
◎参考資料
◆2005年6月のセキュリティ情報
◆セキュリティ更新プログラム 2005年6月(Microsoft Securityホーム)
(勝村 幸博=IT Pro)
