[HotFix Report 2005/08/11］ MS05-043

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

　
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert：2005/08/11日版

【登録日】2005/08/11

【更新日】2005/08/11

詳細

HFR BBS会議室

MS05-043

深刻度

→	1（緊急）
	2（重要）
	3（警告）
	4（注意）

攻撃コードの有無

なし

対策

至急適用

再起動の必要性

必要（スプーラ・サービスを停止した場合は不要）

アンインストール

可

対象環境

○	サーバ
○	クライアント

セキュリティ情報

MS05-043（日本）
MS05-043（US）

サポート技術情報

896423

含まれる過去の修正

なし

脆弱性識別番号

CAN-2005-1984

MS05-043／896423

印刷スプーラ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性

（印刷スプーラの脆弱性により、リモートでコードが実行される）

緊急対応度：適用作業の至急開始

危険性

脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

小									●		大
←	SP待ち				早期適用				緊急適用		→

　印刷スプーラ・サービスのSpoolsv.exeに未チェック・バッファの脆弱性があり、リモートで任意のコードが実行される危険性がある。Windows 2000とWindows XP SP1／SP1aでは、細工したメッセージを受信するだけでこの脆弱性が悪用され、最悪の場合、コンピュータの制御が完全に奪われてしまう。

　特に、プリンタ・サーバとして利用しているコンピュータが攻撃を受ける危険性が高い。ただし、印刷スプーラ・サービスはデフォルトの設定では自動的に起動するため、Windows 2000とWindows XP SP1／SP1aでは、プリンタ・サーバとして使っていないコンピュータでもこの脆弱性を攻撃される危険性がある。最悪の場合、コンピュータの制御が完全に奪われてしまう。なお、Windows XP SP2とWindows Server 2003 SP未適用では、この脆弱性が悪用されると、サービス拒否が起こる可能性が高いとしている。

　マイクロソフトによれば、MS05-043の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、インターネットからの攻撃やウイルス／ワームへの悪用が予想される脆弱性なので、至急、修正プログラムを適用した方がよい。またWebサーバなど、印刷機能が必要ないコンピュータでは、印刷スプーラ・サービスを停止しておくとよいだろう。

概要

　印刷スプーラ・サービスは、プリンタ・ドライバのロード、印刷ジョブのジョブ・スケジューリングなどを行うプログラムだ。Windows OSが起動する際にサービスとして起動される。

　MS05-043の脆弱性は、印刷スプーラ・サービスに未チェック・バッファがあることに起因する。細工されたメッセージを受信するだけで、バッファ・オーバーフローが起こり、ローカル・ユーザーの権限で任意のコードが実行される。Windows 2000とWindows XP SP1／SP1aは、印刷スプーラ・サービスが匿名ユーザーからのメッセージを受け付けるため、ネットワークに接続しただけで攻撃を受ける可能性がある。一方、Windows XP SP2およびWindows Server 2003では、認証されたユーザーからのメッセージしか受け取らないため、攻撃者によるリモート攻撃が成功するには、アクセス許可を持つローカル・ユーザーがプリンタを共有するか、共有プリンタへの接続を試みるかのいずれかの条件が必要だ。これらの条件が整わない場合にリモート攻撃を実行するには、攻撃者が対象となるコンピュータに対する有効なログオン資格を持っている必要がある。

　直接インターネットに接続されているコンピュータは、直接外部から攻撃を受ける危険性がある。また社内に侵入したワームやウイルスなどによって、LANを経由した攻撃が実行される可能性も懸念される。

対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Windows 2000	Windows 2000 SP4
Windows XP	Windows XP SP1／SP2
Windows Server 2003	Windows Server 2003 SP未適用

‥‥‥ DA Lab：HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム	適用テスト結果
Windows 2000 Professional SP4	○
Windows 2000 Server SP4	○
Windows 2000 Advanced Server SP4	○
Windows XP Professional SP1	○
Windows XP Professional SP1a	○
Windows XP Professional SP2	○
Windows Server 2003, Standard Edition SP未適用	○
Windows Server 2003, Enterprise Edition SP未適用	○

■Windows Server 2003 SP1は影響を受けない
　マイクロソフトによれば、SP1適用済みのWindows Server 2003はこの脆弱性の影響を受けない。

［お詫び］HotFix Alert 速報版で対象としてWindows Server 2003 SP1を挙げていましたが、Windows Server 2003 SP1には脆弱性は存在しません。お詫びして訂正させていただきます。

■Windows XP SP2では［プログラムの追加と削除］で表示形式が日付順になる修正ツールが実行される
　Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの［プログラムの追加と削除］で日付順に並ばないという不具合がある。これは、update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

　MS05-043の修正プログラムでは、Windows XP SP2において、この不具合を解消する「arpidfix.exe」を実行し、［プログラムの追加と削除］の表示形式で日付順に並ぶように「Installed On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630（Arpidfix.exe ツールについて）：
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■MBSA 2.0の結果
　MS05-043の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「MS05-043 Windows ｛2000／XP／Server 2003｝用セキュリティ更新プログラム (KB896423)」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「印刷スプーラの脆弱性により、リモートでコードが実行される (896423)」が表示される。

‥‥‥ 修正プログラムのダウンロード先 ‥‥‥

プラットフォーム	ダウンロード・センター	Windows Update／SUS／WSUSの表示
Windows 2000	→ MSへ	Windows 2000 用セキュリティ更新プログラム (KB896423)
Windows XP	→ MSへ	Windows XP 用セキュリティ更新プログラム (KB896423)
Windows Server 2003	→ MSへ	Windows Server 2003 用セキュリティ更新プログラム (KB896423)

‥‥‥ 適用されるファイル情報 ‥‥‥

　以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
　
Windows 2000 SP4：

ファイル名	日付	バージョン	サイズ
Windows2000-KB896423-x86-JPN.EXE	2005/07/13	1.0.0.0	594,936

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%SystemRoot%\system32\
faxui.dll	2005/07/13	5.0.2195.7003	138,000	Fax Printer Driver UI
spoolss.dll	2005/07/13	5.0.2195.7054	81,168	Spooler SubSystem DLL
spoolsv.exe	2005/07/11	5.0.2195.7059	47,376	Spooler SubSystem App
win32spl.dll	2005/07/13	5.0.2195.7054	88,848	32-bit Spooler API DLL
	%SystemRoot%\system32\Spool\drivers\w32x86\3\
faxui.dll＊	2005/07/13	5.0.2195.7003	138,000	Fax Printer Driver UI

＊このフォルダにfaxui.dllが存在する場合に限り、このファイルが展開される。
　
Windows XP SP1／SP1a／SP2：

ファイル名	日付	バージョン	サイズ
WindowsXP-KB896423-x86-JPN.exe	2005/07/01	1.0.0.0	565,488

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ（sp1qfe）	%SystemRoot%\system32\
spoolsv.exe	2005/06/11	5.1.2600.1699	53,248	Spooler SubSystem App
win32spl.dll	2005/06/11	5.1.2600.1699	102,400	32-bit Spooler API DLL
展開フォルダ（sp2gdr）	%SystemRoot%\system32\
spoolsv.exe	2005/06/11	5.1.2600.2696	57,856	Spooler SubSystem App
展開フォルダ（sp2qfe）	%SystemRoot%\system32\
spoolsv.exe	2005/06/11	5.1.2600.2696	57,856	Spooler SubSystem App

　
Windows Server 2003 SP未適用：

ファイル名	日付	バージョン	サイズ
WindowsServer2003-KB896423-x86-jpn.exe	2005/06/12	1.0.0.0	506,096

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ（rtmgdr／rtmqfe）	%SystemRoot%\system32\
spoolsv.exe	2005/06/11	5.2.3790.346	57,856	Spooler SubSystem App

‥‥‥ 確認方法 ‥‥‥

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB896423\Filelist以下のファイル一覧を確認する

・Windows XP SP1／SP1a／SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB896423\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB896423\Filelist以下のファイル一覧を確認する

‥‥‥ 参考情報 ‥‥‥

　何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■印刷スプーラ・サービスを無効にする
　MS05-043の脆弱性の原因となるサービス「Print Spooler」を停止する。

［スタート］－［コントロールパネル］－［管理ツール］から［サービス］を開く。
サービスの一覧から［Print Spooler］を探し、ダブルクリックして［プロパティ］画面を開く。
「スタートアップの種類」を［自動］から［無効］に変更する。
「サービスの状態」が「開始」となっていたら、動作中なので［停止］ボタン、［OK］ボタンをクリックしてサービスを停止する。

　また、以下のコマンドをコマンド・プロンプトから実行してもよい。

sc stop Spooler & sc config Spooler start= disabled

　ただし、印刷スプーラ・サービスを停止した場合、ローカル、リモートのどちらの印刷もできなくなる。そのため、印刷が必要でないWebサーバなどのコンピュータでのみ印刷スプーラ・サービスを停止すること。

予想適用時間

修正プログラム名	50台	100台	250台	500台
Windows2000-KB896423-x86-JPN.EXE （Windows 2000 SP4）	18分	27分	52分	1時間34分
WindowsXP-KB896423-x86-JPN.exe （Windows XP SP1／SP1a／SP2）	18分	27分	52分	1時間34分
WindowsServer2003-KB896423-x86-jpn.exe （Windows Server 2003 SP未適用）	18分	27分	52分	1時間34分

1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。

UpdateEXPERT上の表示

・Windows 2000 SP4：
［展開ビュー］－［OS］タブに「名前：Windows2000-KB896423-x86-JPN.EXE」で登録

・Windows XP SP1／SP1a／SP2：
［展開ビュー］－［OS］タブに「名前：WindowsXP-KB896423-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］－［OS］タブに「名前：WindowsServer2003-KB896423-x86-jpn.exe」で登録

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。