マイクロソフトが公開するパッチに,また不具合が見つかった。あるセキュリティ・ホールを修正するためのパッチを適用すると,システムが正常に動作しなくなる恐れがある。現在のところ,この不具合を修正する日本語版パッチは公開されていないので,パッチのアンインストールが回避策となる。今回のように,パッチを適用すると不具合が発生する場合は少なくない。そのような場合に備えて,パッチは必ずアンインストールできるようにしてもらいたい。
パッチを適用すると,特定アプリでスレッドがハング
マイクロソフトが2003年3月27日に公開した,
RPC エンドポイント マッパーの問題により,サービス拒否の攻撃が実行される (331953) (MS03-010)
を解消するパッチに問題が見つかった。Windows 2000 SP3 にパッチを適用すると,ローカルCOMコールが応答しなくなる場合があるという。マイクロソフトは2003年5月14日,セキュリティ情報にこの問題があることを追記した。具体的には,特定の環境において,セキュリティ資格情報が異なる複数のスレッドから,ローカルRPC呼び出しが続けて複数回実行された場合,スレッドが応答を停止(ハングアップ)することがある。パッチを適用したすべての環境で問題が発生するわけではない。
問題の詳細については「マイクロソフト サポート技術情報 814119 - [FIX] RPC の不具合により ASP/COM+ アプリケーションでスレッドが応答を停止する」を参照してほしい。また,セキュリティ・ホール「MS03-010」については過去の記事で解説済みなので,そちらを参照してほしい。
さて,パッチの適用で不具合が発生することは問題だが,今回の件についてはそれ以外の問題もある。セキュリティ情報には「この問題の詳細および修正プログラムの入手に関する詳細は,マイクロソフト サポート技術情報 814119 をご覧ください」と記述されているにもかかわらず,上記の「サポート技術情報 814119」には,修正パッチ(MS03-010のパッチの不具合を修正するパッチ)の入手方法が記載されていないのである。セキュリティ情報とサポート技術情報で言っていることが異なるのだ(2003年5月26日現在)。
この食い違いの原因は,サポート技術情報の原文の「Microsoft Knowledge Base Article 814119 - FIX: RPC Bug Causes Threads to Stop Responding in ASP/COM+ Applications」を確認して理解できた。原文では存在する「RESOLUTION」(解決方法)という項が,日本語訳のサポート技術情報では割愛されているのだ。
原文の「RESOLUTION」を読むと,英語版用のパッチ(パッチのパッチ)は用意されていることが分かる。ただし,そのパッチは問題が発生したシステムにだけ適用すべきものなので,通常のパッチとは異なり,「Microsoft Product Support Services」から個別に提供するとしている。
このことから,現在「日本語版用パッチを開発中」あるいは「パッチは用意したが,その提供方法を調整中」などの理由から,「RESOLUTION」の項をごっそり落としたのだろうと推測できる。これはこれで理解できる。しかし,単に落としただけでは,ユーザーは戸惑うばかりだ。その旨をきちんと記載して,セキュリティ情報とサポート技術情報で“不整合”を起こさないように注意していただきたい。
アンインストールの可否が重要
それでは,日本語環境において問題が発生している場合には,どのように回避すればよいだろうか。幸い「MS03-010」のセキュリティ・ホールについては,過去の記事で書いたように,パッチなしでも影響を最小限に抑えられる対策方法が存在する。具体的には,ファイアウオールやエッジ(境界)ルータで,TCP 135番ポートを遮断することである。
そこで,TCP 135番ポートを確実に遮断した上で,問題の「MS03-010」のパッチをアンインストールすることが最善の方法だと考えられる。「MS03-010」のセキュリティ情報にあるように,このパッチはアンインストールすることが可能である。
さて,「MS03-010」のパッチの場合にはアンインストールが可能なので,上記のような回避策が可能である。ところが,アンイストールできないパッチも,少なからず存在するのが現状である。例えば,「MS03-010」から「MS03-017」までの8件をチェックしても,「Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)」と「Windows Media Player スキン ダウンロードの問題により,コードが実行される (817787) (MS03-017)」の2件は,修正パッチをアンインストールできない。
もしこれらのパッチで,今回の「MS03-010」のような不具合が発生しても,アンインストールで回避することはできないのである。
パッチが万全ならばアンインストールできなくても問題はない。しかし,ベンダーが限られた時間と人的資源で対応している以上,まったく問題がないパッチを適用することは困難だろう。完璧なパッチを提供できない以上,一度適用したパッチを確実にアンインストールできるようにしていただきたい。完璧なパッチを作成するよりも,こちらのほうが現実的だろう。
余談にはなるが,米Microsoftは2003年2月に,米Connectixから「Virtual PC」という仮想マシン(Virtual Machine)技術を買収した(関連記事)。そのVirtual PCファミリには,サーバー運用に特化した仮想サーバー・ソフト「Virtual Server」が存在する。Virtual PCでは,その上で動作させるOS(ゲストOS)を起動前の状態に戻すことができる。これをうまく使えば,一度適用したパッチを確実にアンインストールする環境を構築できる可能性がある。Virtual PCの買収劇には,そうした意図があるのかもしれない(関連記事)。
スクリプトを無効にしても攻撃を受けるIEのホール
「Bugtraq」や「NTBugtraq」といったセキュリティ関連メーリング・リストにて,Internet Explorer(IE)において,細工が施されたWebページを閲覧すると,悪意があるプログラムを実行させられるというセキュリティ・ホールが報告されている。スクリプトを無効にしても実行させられる,非常に危険なセキュリティ・ホールである。
シマンテックからも,Symantec Security ResponseのWebページにて「Internet Explorerがfile:// リクエストの際にゾーンを無視する」という同様のレポートが公開されている。詳細は「IEに危険なセキュリティ・ホール,スクリプトを無効にしても攻撃を受ける」を確認していただきたい。
同記事にもあるように,「ファイルのダウンロード」を無効にすることが対策となる。ダウンロードを無効にすることは,このコラムで何度も紹介している「“お勧め”設定」に含まれる設定である(関連記事)。
ただし,ファイルのダウンロードを無効にしていても,悪意があるプログラムを実行させられるという最悪の事態は回避できるが,IEのプロセスはハングアップしてしまう。
攻撃者のサイトを「制限付きサイト」に登録しておけば,ダウンロードもハングアップも避けることができるが,現実的とはいえない対策だろう。
やはり,「IEでないと閲覧できないイントラネットなどのWeb閲覧には『ファイルのダウンロード』を無効にした上でIEを使用する。それ以外のWeb閲覧ではIE以外のブラウザを使う」というのが,有効な対策だろう。少なくともIE以外のブラウザでは,細工が施されたWebページを閲覧しただけで悪意があるプログラムを実行させられるという最悪の事態は発生しない。
今回のセキュリティ・ホールに限らず,IEには未対応のセキュリティ・ホールが複数存在する。例えば,「Unpatched IE security holes」では,今回のセキュリティ・ホールも含めて15個の未対応のセキュリティ・ホールがリストアップされている(2003年5月26日現在)。できるだけIEを使わないに超したことはない。
IE以外のブラウザでもセキュリティ・ホールは見つかる
とはいえ,IE以外のブラウザならば絶対に安全かというと,そういうわけではない。これについても,このコラムでは繰り返し呼びかけていることだ。他のブラウザにもセキュリティ・ホールは見つかっている。
例えば,ノルウェーOpera Softwareは現地時間5月12日に,セキュリティ・ホールを修正したOperaブラウザの新版である「Opera 7.11 for Windows」(英語版)を公開した。同社のWebサイトからダウンロード可能である。セキュリティを考慮すれば,この最新版を使用すべきである。ただし,日本語版のOpera 7.11については未公開。公開時期は未定である。
Opera 7.11ではいくつかのセキュリティ・ホールが修正されている。その一つが,Operaの国内販売元であるトランスウエアからアナウンスされている「Opera 7.10 for Windowsにオーバーフローによる脆弱性の可能性」である。これは,長いファイル名を含むファイルをダウンロードする際に,バッファ・オーバーフローが発生するというセキュリティ・ホールである。
Operaにはこれ以外のセキュリティ・ホールも見つかっている。例えば,「Opera for Windowsに新しいセキュリティ・ホール」で報じているセキュリティ・ホールなどである。このセキュリティ・ホールがOpera 7.11で修正されているかどうかは不明である。Operaに限ったことではないが,「最新版だから安全」とは言い切れないのが現状である。
なお,筆者の印象としては,Operaの開発元であるOpera Softwareはセキュリティ・ホール情報を隠す傾向にあるようだ。同社よりも,トランスウエアのほうがセキュリティ・ホール情報の開示に対しては積極的であり,評価できる。とはいえ,まだ十分とはいえない。ユーザーの立場にたって,今後も情報開示に努めていただきたい。
同じように,Netscapeにもセキュリティ・ホールは見つかっている。米Netscape Communications社から2003年2月中旬にリリースされた,Webブラウザやメール・ソフトなどを含んだスイート・ソフト「Netscape 7.02」のセキュリティ・ホールが,「Bugtraq」などで報告されている。悪用されると,アドレス・バーに偽の URLを表示させられるという。このセキュリティ・ホールは「Mozilla」にも存在する。
対策はJavaScriptを無効にすること。デフォルトではチェック・マークが付いている「JavaScriptを有効にする」のチェック・マークを外せば回避できる。
以上のように,NetscapeやOperaであれば安全というわけではない。それぞれのセキュリティに関する状況は,目まぐるしく変化している。最新の状況を継続して確認し,自分の判断でいつも使用するWebブラウザを決める必要がある。
ワームに関する警告が2件
「TechNet Online セキュリティ」では,被害を広げているワーム(ウイルス)を警告するレポートが2件公開された。「Palyh に関する情報」と「Fizzer に関する情報」である(関連記事1,関連記事2)。
特にPalyhは,マイクロソフト(support@microsoft.com)から送信されたメールに見せかけて,添付されているファイル(Palyh)を実行させようとする悪質なワームである。このためマイクロソフトでは,「TechNet Online セキュリティ」だけではなく,「トラブル・メンテナンス速報」と「マイクロソフト セキュリティ情報センターのご案内」でも注意を呼びかけている。
RealOneでXPのパフォーマンスが低下する
セキュリティに関する話題ではないが,「マイクロソフト サポート技術情報」で注目すべきトピックが1件公開された。「サポート技術情報 817143 - RealNetworks RealOne Player をインストールすると,パフォーマンスが低下する場合がある」である。
Windows XP環境に 「RealNetworks RealOne Player バージョン 1」 をインストールすると,パソコンのパフォーマンスが低下する可能性があるという。原因は,RealOne Player バージョン 1 と同時にインストールされるプログラム・スケジューラ「Evntsvc.exe」である。
最善の対策は,最新バージョン「RealNetworks RealOne Player バージョン 2」をインストールすること。ただし,RealNetworksの「RealOne Player」のWebページでは,RealOne Playerのバージョンが明記されていない(現在公開されているのはバージョン2である)。こうした重要な情報は,分かりやすく明記してほしい。
マイクロソフト セキュリティ情報一覧
『Windows NT 4.0/2000/XP』
◆RPC エンドポイント マッパーの問題により,サービス拒否の攻撃が実行される (331953) (MS03-010)
(2003年 5月14日:セキュリティ情報が更新。サポート技術情報 814119 へのリンクが追加)
(2003年 3月27日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
TechNet Online セキュリティ
◆Palyh に関する情報 (マイクロソフト:2003年 5月19日)
◆Fizzer に関する情報 (マイクロソフト:2003年 5月14日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
