MS03-049/828749 |
Workstation Serviceの未チェック・バッファの脆弱性により、システムの特権が奪われる危険性
|
(Workstation サービスのバッファ オーバーランにより、コードが実行される) |
|
|
対応策: 修正プログラムの適用作業を至急開始してください。 |
|
概要 |
ネットワーク・サービスの1つであるWorkstation Service(WKSSVC.DLL)に未チェック・バッファが存在します。これにより、ユーザーの操作なしで、データの改ざんや破壊、任意のコードが実行されるなどの攻撃を受ける危険性があります。また、この脆弱性を悪用したワームの登場が予想されます。このサービスは、ネットワークにつながっているほとんどのWindowsコンピュータで稼働しているので、ワームなどの攻撃を受けると、広範囲に被害が及ぶ危険があります。
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。Windows XPにおいて、すでにMS03-043の修正プログラム(再リリース版)を適用済みの場合は、MS03-049の適用は不要です。
影響を受けるソフトウェア |
対象プラットフォーム |
Windows 2000 |
Windows 2000 SP2/SP3/SP4 |
Windows XP |
Windows XP SP未適用/SP1/SP1a |
|
|
詳細情報 |
Workstation Serviceは、ネットワーク接続とネットワーク通信を提供するサービスです。Alerter(警告)やComputer Browser(ブラウザ)、Net
Logon(ネットワーク・ログオン)、RPC Locator(RPCロケータ)などが、このサービスを利用します。そのWorkstation Serviceのログ機能に未チェック・バッファが存在することが明らかになりました。
この脆弱性が悪用されると、攻撃者によってシステムの特権が奪取されたり、Workstation Serviceが異常終了したりします。これにより攻撃者により、プログラムのインストール、データの表示/変更/削除、管理者権限を持つアカウントの作成などが行われる危険性があります。前述したとおり、この脆弱性の影響を受けるコンピュータは多数にのぼるため、これを悪用したワームなどが登場した場合には、Blasterワーム同様、短時間でインターネット/イントラネットが麻痺するほどの影響を受ける可能性があります。至急、修正プログラムの適用を開始してください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
Windows XP用の修正プログラムは、MS03-043と同じです。ただしバージョン番号は、MS03-043の10月30日再リリース版(インストーラなどの不具合を修正したバージョン)となっています。つまり、正確にはMS03-049は、MS03-043の修正プログラムの再リリース版と同じものということになります。従って10月30日以降にWindows
XPに対してMS03-043の修正プログラムを適用しているなら、今回のMS03-049を適用する必要はありません。
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Windows 2000 SP2/SP3/SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Windows2000-KB828749-x86-JPN.exe |
2003/10/24 |
5.4.1.0 |
337,256
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\system32 |
wkssvc.dll |
2003/10/23 |
5.0.2195.6862 |
96,528
|
Workstation Service DLL |
・Windows XP SP未適用/SP1/SP1a:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB828035-x86-JPN.exe |
2003/10/22 |
5.3.23.4 |
365,664
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(SP未適用) |
%SystemRoot%\system32 |
msgsvc.dll |
2003/10/22 |
5.1.2600.121 |
32,256
|
NT Messenger Service |
wkssvc.dll |
2003/10/22 |
5.1.2600.121 |
119,808
|
Workstation Service DLL |
展開フォルダ
(SP1/SP1a) |
%SystemRoot%\system32 |
msgsvc.dll |
2003/10/22 |
5.1.2600.1309 |
32,256
|
NT Messenger Service |
wkssvc.dll |
2003/10/22 |
5.1.2600.1309 |
119,808
|
Workstation Service DLL |
|
|
確認方法 |
以下の各レジストリ・キーならびにファイルを確認してください。
・Windows 2000 SP2/SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB828749
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.0.2195.6862」
・Windows XP SP未適用:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB828035
%SystemRoot%\system32\msgsvc.dllのバージョンが「5.1.2600.121」
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.1.2600.121」
・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB828035
%SystemRoot%\system32\msgsvc.dllのバージョンが「5.1.2600.1309」
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.1.2600.1309」
[訂正] HotFix Alert速報版において、Windows
XPのファイルのバージョンが、間違っておりました。お詫びして訂正させていただきます。
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Windows 2000 SP2/SP3/SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2467fe46-d167-479c-9638-d4d79483f261&DisplayLang=ja
・Windows XP SP未適用/SP1/SP1a:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&DisplayLang=ja
また、MS03-049の全修正プログラムはWindows
Updateからも適用可能です。
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・ファイアウォールでUDPポート138/139/445、TCPポート138/139/445をブロックする
ファイアウォールを用いて、UDPポート138/139/445、TCPポート138/139/445をブロックします。これにより、インターネットからのこの脆弱性を悪用する攻撃を防ぐことができます。ただし、ワームに感染したノートPCが直接イントラネット(社内LAN)に接続されるなど、何らかの理由でファイアウォールの内側に持ち込まれた場合、この方法では被害を防止できません。
・Windows XPでインターネット接続ファイアウォール(ICF)機能を有効にする
Windows XPのICF機能を有効にすることで、インターネットからの受信トラフィックをブロックできます。ただし、攻撃に利用されるTCP/UDPポートは、Workstation
Serviceでも利用するため、イントラネット内においては完全にブロックすることができません(ブロックすると共有ファイルなどに影響します)。この脆弱性を悪用したワームなどにより、イントラネット内で攻撃が実行された場合、防ぐことができない可能性があります。
・Workstation Serviceを無効にする
Workstation Serviceを無効にすることで、この脆弱性のリスクを回避することが可能です。ただし、Workstation Serviceを無効化すると、共有ファイル・リソースや共有印刷リソースに接続できないなど、ネットワーク・サービスの利用が厳しく制限されるため推奨しません。
Workstation Serviceの無効化は、[管理ツール]−[サービス]で「Workstation」を選択し、[スタートアップの種類]を「無効」にします。さらに、[サービスの状態]で[停止]ボタンをクリックします。Workstation
Serviceの無効化は、スタンドアロンでご利用のコンピュータでのみ設定してください。
|
|
UpdateEXPERTによる予想適用時間 |
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Windows2000-KB828749-x86-JPN.exe
(Windows 2000 SP2/SP3/SP4) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsXP-KB828035-x86-JPN.exe
(Windows XP SP未適用/SP1/SP1a) |
18分 |
27分 |
52分 |
1時間34分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Windows 2000 SP2/SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB828749-x86-JPN.exe」で登録
・Windows XP SP未適用/SP1/SP1a:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB828035-x86-JPN.exe」で登録
|
|