幸いなことに,今週はWindows関連の深刻なセキュリティ・ホールは見つかっていない。しかし,Netscape 6.2.2の日本語版が公開されたり,Windows XP の CD-R/RW 書き込みの不具合を解消するパッチが公開されたり,Windows OS関連のセキュリティ・ホールが見つかったりと,話題は豊富である。有用なドキュメントも複数公開されているので,ぜひチェックしておきたい。
英語版から2週間遅れで日本語版が登場
「Netscape 6.2.2」の日本語版が4月2日にようやく公開された。前々回のコラムで解説したように,6.2.2ではSun JRE(Java Runtime Environment)のセキュリティ・ホールが解消されている。Netscapeユーザーは早速アップグレードしよう。
以前のコラムで何度も紹介しているように,Internet Explorer(IE)には,パッチ(修正プログラム)では解消されないセキュリティ・ホールが複数存在する。Java機能を無効にした「Netscape」最新版の使用は,その回避策の一つである。6.2.2日本語版の公開を期に,IEから乗り換えるのもよいだろう。
ただし,Netscape は日本語情報の遅れが気になる。英語情報の「Netscape Security Center」には,「6.2.2は Sun JRE問題に対応するバージョンである」ことが明記されているが,日本語情報の「Netscapeセキュリティ・ノート」には,Netscape 6.2.2に関する情報は記載されていない(4月8日現在)。せっかく日本語版を公開したのだから,日本語情報も更新してもらいたいものだ。
CDレコーダの不具合,報告から4カ月後にパッチが登場
Windows XP Home Edition/Professional に標準搭載されている CD レコーダの不具合を修正するパッチが,4月4日に公開された(関連記事)。
CD レコーダの書き込み機能を使用して,名前に特定の文字(例えば「医」「画」「主」など。全部で32文字存在する)を含むファイルやフォルダを CD-R/RW ディスクにコピーすると,ディスクのデータを消失してしまうという不具合だ。
不具合は2001年12月に報告されていたものの,修正パッチが長らく公開されなかった。それがやっと公開された。ユーザーは早速パッチを適用しておこう。
OSのセキュリティ情報とパッチが2件公開
上記以外のWindows関連セキュリティ・トピックス(2002年4月10日時点分)を,プロダクトごとに整理して解説する。OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語情報とパッチが2件公開された。いずれも深刻度は「中」である。
(1)Q311967: Multiple UNC Provider の未チェックのバッファによりコードが実行される (MS02-017)
Windows NT 4.0/2000/XP の Multiple UNC Provider(MUP)にセキュリティ・ホールが見つかった。MUP とは,UNC(uniform naming convention)によって認識されるネットワーク・リソースの検索をサポートする,Windows のサービスのこと。
MUP の処理プロセスの一つに,未チェックのバッファが存在する。そのため,MUP にあるリクエストが送られると,バッファ・オーバーランが発生する恐れがある。その結果,DoS攻撃を受けたり,任意のコードを実行される可能性がある。
セキュリティ情報とともに公開された日本語版パッチを適用すれば解消できる。パッチの適用前提は,Windows NT 4.0用では Service Pack(SP)6aを適用済みであること。Windows NT 4.0 Terminal Server Edition用は,SP6を適用済みであること。Windows 2000用では,SP1 あるいは SP2を適用済みであること。Windows XPの場合,条件はない。
ただし,このセキュリティ・ホールを悪用するには,攻撃対象のコンピュータ(システム)に,対話的にログオンする必要がある。リモートからは攻撃できない。重要なコンピュータについては,権限を持たないユーザーは対話的にログオンできないように設定しておくことがセキュリティ上のセオリーである。そのため,深刻度はそれほど大きくないといえる。
(2)Q318593 : 読み取り専用アクセスのグループ ポリシー ファイルを開くと,ポリシーの適用が妨害される (MS02-016)
Windows 2000 Server/Advanced Server/Datacenter Serverにおいてドメイン・コントローラを使用している場合,グループ・ポリシーの適用を妨害される可能性があるというセキュリティ・ホールだ。
ハードウエア・ベンダーによって対応が異なるDatacenter Server 以外については,日本語版パッチが公開されている。パッチの適用前提は,Windows 2000用のSP2を適用済みであること。
ただし,このセキュリティ・ホールを悪用するには,攻撃対象とするドメインの正規ユーザーである(ユーザーID とパスワードを知っている)必要がある。さらに,インターネット上のマシンでは,ドメイン構成を組まないことがセキュリティ上のセオリーなので,リモートから攻撃されることはない。そのため,深刻度はそれほど大きくない。手が空いたときにパッチを適用すればよいだろう。
XML Core Services 2.6/3.0 の日本語版パッチが公開
各種クライアント・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開された。
XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
以前のコラムでお知らせした通り,XML Core Services(MSXML)2.6/3.0/4.0 にはセキュリティ・ホールが存在する。そのため,MSXMLを含む IE 6,Windows XP あるいは SQL Server 2000 のいずれかを導入している環境においては,IEを使って,特定のスクリプトが仕掛けられたWebページを閲覧した場合,ローカル・システムの情報を取得される恐れがある。
MSXML 4.0 用の日本語パッチは公開されていたものの,2.6 および 3.0用の日本語版パッチは公開されていなかった。それが今回ようやく公開された。IE 6あるいはWindows XP ユーザーは早急にパッチを適用しよう。
なお,マイクロソフトが公開する情報の「回避策」の項には,「修正モジュールの準備ができましたら本設定を戻し,[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行]を[有効にする]を選択してください」と記載されている。しかし,今回の修正パッチを適用しても,設定を戻してはならない。あまりにも危険だからである。以前のコラムで紹介した“お勧め”設定通り,「ActiveX コントロールとプラグイン」と「スクリプト」の項は,すべて無効にしておこう。
SQL Server のセキュリティ情報が更新
各種サーバ・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,情報が1件追加更新された。
SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる (MS02-007)
セキュリティ・ホールの内容については,以前のコラムで紹介済みなので割愛する。セキュリティ情報とパッチは既に公開されているが,今回情報の一部が更新された。
セキュリティ情報の「警告」 欄が更新され,「空のテーブルに対しログに記録されない一括挿入操作を使用するシステムの場合,この修正パッチを適用すると,副作用としてデータが破損する可能性がある」という情報が追加された。対象となるシステムの管理者は注意しよう。
「TechNet Online セキュリティ」では新規ドキュメントが3件
「TechNet Online セキュリティ」では,ドキュメントが3件公開された。(1)「セキュリティ 警告サービス 月刊サマリー 3 月号」,(2)「セキュリティ問題に関する情報をお寄せください」,および(3)「ソフトウェアの配布に関するマイクロソフトの方針」である。
(1)は,マイクロソフトが登録ユーザーに毎月送信している,セキュリティ情報をまとめたメールを,Webページ化したものだ。
情報自体は有用であり,歓迎すべきサービスだ。しかし,「月刊サマリー 2月号」が掲載されたときにも指摘したように,情報の分類に工夫がほしい。新着情報と更新情報に分類されてはいるものの,単に番号順に並べたものであり,自分に必要な情報かどうかが分かりづらい。
以前のコラムで述べたように,まずプロダクトごとに分類し,さらに深刻度に応じて並び替えれば,格段に分かりやすくなるはずだ。ぜひ検討していただきたい。
(2)では,「マイクロソフト製品セキュリティ・チーム」の専用メール・アドレスが設置されたことを伝えている。ユーザーがマイクロソフト製品のセキュリティ問題を見つけた場合,セキュリティ・チームに直接報告できる。
具体的なメール・アドレスは,「secure@microsoft.com」。メールはマイクロソフトのサポート・エンジニアが監視し,報告があれば直ちに対応するとしている。
しかし,メールを参照するのは米国のエンジニアであるため,メールは英語で書く必要がある。せっかくのよい取り組みであるものの,国内ユーザーにとっては少々敷居が高い。ぜひ日本語での受け付けも実現してもらいたい。
(3)は,マイクロソフトのセキュリティ情報を模したワーム(ウイルス)を警告する情報である。
「Fbound」,「Gibe」,「Sharpei」といった,セキュリティ情報を模したワームが頻発し,被害を広げている。これを受けて,「修正パッチそのものを一般ユーザーへメールで配布することはない」ことを,改めて警告している。ぜひ内容を確認しておこう。
マイクロソフト セキュリティ情報一覧
『Windows XP/Internet Explorer 6.0/SQL Server 2000』
◆XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
(2002年4月2日:XML Core Services 2.6 および 3.0 の日本語版修正パッチ公開。また,「よく寄せられる質問」が更新され,DLL の修正パッチに関する情報が追加,最大深刻度 : 高)
『Windows NT 4.0/2000/XP』
◆Q311967: Multiple UNC Provider の未チェックのバッファによりコードが実行される (MS02-017)
(2002年4月5日:日本語情報公開,最大深刻度 : 中)
(2002年4月6日:日本語版修正パッチ公開,最大深刻度 : 中)
『Windows 2000』
◆Q318593 : 読み取り専用アクセスのグループ ポリシー ファイルを開くと,ポリシーの適用が妨害される (MS02-016)
(2002年4月5日:日本語情報,及び日本語版修正パッチ公開,最大深刻度 : 中)
『SQL Server』
◆SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる (MS02-007)
(2002年4月2日:「警告」 欄が更新され,修正パッチと一括データ転送に関して,発生する可能性のある問題に関する情報が追加,最大深刻度 : 中)
サポート技術情報
◆CD-R/RW ディスクにコピーしたファイルまたはフォルダが消失する (2002年 4月5日最終更新)
TechNet Online セキュリティ
◆2002 年 3 月 セキュリティ 警告サービス 月刊サマリー
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
