MS05-043/896423 |
印刷スプーラ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性 |
(印刷スプーラの脆弱性により、リモートでコードが実行される) |
緊急対応度:適用作業の至急開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
印刷スプーラ・サービスのSpoolsv.exeに未チェック・バッファの脆弱性があり、リモートで任意のコードが実行される危険性がある。Windows
2000とWindows XP SP1/SP1aでは、細工したメッセージを受信するだけでこの脆弱性が悪用され、最悪の場合、コンピュータの制御が完全に奪われてしまう。
特に、プリンタ・サーバとして利用しているコンピュータが攻撃を受ける危険性が高い。ただし、印刷スプーラ・サービスはデフォルトの設定では自動的に起動するため、Windows
2000とWindows XP SP1/SP1aでは、プリンタ・サーバとして使っていないコンピュータでもこの脆弱性を攻撃される危険性がある。最悪の場合、コンピュータの制御が完全に奪われてしまう。なお、Windows
XP SP2とWindows Server 2003 SP未適用では、この脆弱性が悪用されると、サービス拒否が起こる可能性が高いとしている。
マイクロソフトによれば、MS05-043の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、インターネットからの攻撃やウイルス/ワームへの悪用が予想される脆弱性なので、至急、修正プログラムを適用した方がよい。またWebサーバなど、印刷機能が必要ないコンピュータでは、印刷スプーラ・サービスを停止しておくとよいだろう。
|
概要
|
印刷スプーラ・サービスは、プリンタ・ドライバのロード、印刷ジョブのジョブ・スケジューリングなどを行うプログラムだ。Windows OSが起動する際にサービスとして起動される。
MS05-043の脆弱性は、印刷スプーラ・サービスに未チェック・バッファがあることに起因する。細工されたメッセージを受信するだけで、バッファ・オーバーフローが起こり、ローカル・ユーザーの権限で任意のコードが実行される。Windows
2000とWindows XP SP1/SP1aは、印刷スプーラ・サービスが匿名ユーザーからのメッセージを受け付けるため、ネットワークに接続しただけで攻撃を受ける可能性がある。一方、Windows
XP SP2およびWindows Server 2003では、認証されたユーザーからのメッセージしか受け取らないため、攻撃者によるリモート攻撃が成功するには、アクセス許可を持つローカル・ユーザーがプリンタを共有するか、共有プリンタへの接続を試みるかのいずれかの条件が必要だ。これらの条件が整わない場合にリモート攻撃を実行するには、攻撃者が対象となるコンピュータに対する有効なログオン資格を持っている必要がある。
直接インターネットに接続されているコンピュータは、直接外部から攻撃を受ける危険性がある。また社内に侵入したワームやウイルスなどによって、LANを経由した攻撃が実行される可能性も懸念される。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows 2000 |
Windows 2000 SP4 |
Windows XP |
Windows XP SP1/SP2 |
Windows Server 2003 |
Windows Server 2003 SP未適用 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP4 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
■Windows Server 2003 SP1は影響を受けない
マイクロソフトによれば、SP1適用済みのWindows Server 2003はこの脆弱性の影響を受けない。
[お詫び]HotFix Alert 速報版で対象としてWindows
Server 2003 SP1を挙げていましたが、Windows Server 2003 SP1には脆弱性は存在しません。お詫びして訂正させていただきます。
■Windows XP SP2では[プログラムの追加と削除]で表示形式が日付順になる修正ツールが実行される
Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの[プログラムの追加と削除]で日付順に並ばないという不具合がある。これは、update.exe
6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。
MS05-043の修正プログラムでは、Windows XP SP2において、この不具合を解消する「arpidfix.exe」を実行し、[プログラムの追加と削除]の表示形式で日付順に並ぶように「Installed
On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。
・サポート技術情報 904630(Arpidfix.exe ツールについて):
http://support.microsoft.com/default.aspx?scid=kb;ja;904630
■MBSA 2.0の結果
MS05-043の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「MS05-043 Windows {2000/XP/Server
2003} 用セキュリティ更新プログラム (KB896423)」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「印刷スプーラの脆弱性により、リモートでコードが実行される
(896423)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUS/WSUSの表示 |
Windows 2000 |
|
Windows 2000 用セキュリティ更新プログラム (KB896423) |
Windows XP |
|
Windows XP 用セキュリティ更新プログラム (KB896423) |
Windows Server 2003 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB896423) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows 2000 SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Windows2000-KB896423-x86-JPN.EXE |
2005/07/13 |
1.0.0.0 |
594,936
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\system32\ |
faxui.dll |
2005/07/13 |
5.0.2195.7003 |
138,000
|
Fax Printer Driver UI |
spoolss.dll |
2005/07/13 |
5.0.2195.7054 |
81,168
|
Spooler SubSystem DLL |
spoolsv.exe |
2005/07/11 |
5.0.2195.7059 |
47,376
|
Spooler SubSystem App |
win32spl.dll |
2005/07/13 |
5.0.2195.7054 |
88,848
|
32-bit Spooler API DLL |
|
%SystemRoot%\system32\Spool\drivers\w32x86\3\ |
faxui.dll* |
2005/07/13 |
5.0.2195.7003 |
138,000
|
Fax Printer Driver UI |
*このフォルダにfaxui.dllが存在する場合に限り、このファイルが展開される。
Windows XP SP1/SP1a/SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB896423-x86-JPN.exe |
2005/07/01 |
1.0.0.0 |
565,488
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
spoolsv.exe |
2005/06/11 |
5.1.2600.1699 |
53,248
|
Spooler SubSystem App |
win32spl.dll |
2005/06/11 |
5.1.2600.1699 |
102,400
|
32-bit Spooler API DLL |
展開フォルダ
(sp2gdr) |
%SystemRoot%\system32\ |
spoolsv.exe |
2005/06/11 |
5.1.2600.2696 |
57,856
|
Spooler SubSystem App |
展開フォルダ
(sp2qfe) |
%SystemRoot%\system32\ |
spoolsv.exe |
2005/06/11 |
5.1.2600.2696 |
57,856
|
Spooler SubSystem App |
Windows Server 2003 SP未適用:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB896423-x86-jpn.exe |
2005/06/12 |
1.0.0.0 |
506,096
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(rtmgdr/rtmqfe) |
%SystemRoot%\system32\ |
spoolsv.exe |
2005/06/11 |
5.2.3790.346 |
57,856
|
Spooler SubSystem App |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows 2000 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB896423\Filelist以下のファイル一覧を確認する
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB896423\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB896423\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■印刷スプーラ・サービスを無効にする
MS05-043の脆弱性の原因となるサービス「Print Spooler」を停止する。
- [スタート]−[コントロール パネル]−[管理ツール]から[サービス]を開く。
- サービスの一覧から[Print Spooler]を探し、ダブルクリックして[プロパティ]画面を開く。
- 「スタートアップの種類」を[自動]から[無効]に変更する。
- 「サービスの状態」が「開始」となっていたら、動作中なので[停止]ボタン、[OK]ボタンをクリックしてサービスを停止する。
また、以下のコマンドをコマンド・プロンプトから実行してもよい。
sc stop Spooler & sc config Spooler start= disabled
|
ただし、印刷スプーラ・サービスを停止した場合、ローカル、リモートのどちらの印刷もできなくなる。そのため、印刷が必要でないWebサーバなどのコンピュータでのみ印刷スプーラ・サービスを停止すること。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Windows2000-KB896423-x86-JPN.EXE
(Windows 2000 SP4) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsXP-KB896423-x86-JPN.exe
(Windows XP SP1/SP1a/SP2) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB896423-x86-jpn.exe
(Windows Server 2003 SP未適用) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows 2000 SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB896423-x86-JPN.EXE」で登録
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB896423-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用:
UpdateEXPERT 5.1:サポート対象外
UpdateEXPERT 6.1:[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB896423-x86-jpn.exe」で登録
|
|