MS06-009/901190 |
韓国語版IMEの脆弱性により、特権の昇格が起きる危険性 |
(韓国語版 Input Method Editor の脆弱性により、特権が昇格される) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
WindowsとOfficeの韓国語版IME(Input Method Editor)に特権の昇格の脆弱性が存在する。脆弱性が悪用されると、コンピュータの制御が完全に奪われる危険性がある。
攻撃の実行には、ローカルまたはリモート・デスクトップ、ターミナル・サービスのいずれかで、ログオン画面にアクセスすることが条件となる(ログオンに成功しなくても、ログオン画面にアクセスするだけで攻撃が可能)。リモート・デスクトップやターミナル・サービスを有効にしているコンピュータは、ネットワーク経由による攻撃の対象となるので注意が必要だ。特にサーバは、リモート・メンテナンスのため、リモート・デスクトップやターミナル・サービスを有効にしていることが多いため、攻撃の対象となりやすい。
マイクロソフトによれば、MS06-009の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は現在のところ確認されていないという。後述のように、韓国語を明示的に使用しない日本語Windows環境であっても、脆弱性の原因となるモジュールが含まれているので、なるべく早期に修正プログラムを適用した方がよい。
|
概要
|
IMEは、キーボード操作を文字に変換するエンジンと辞書で構成されている機能だ。日本語版Windowsには日本語版IMEが、韓国語版Windowsには韓国語版IMEが、それぞれデフォルトでインストールされている。またOffice
2003製品もマルチリンガル機能として、独自に各国語版IMEをインストールできる。
MS06-009の脆弱性は、韓国語版IMEのローカル・システム権限で実行される機能に起因する。韓国版IMEの中でエラーを引き起こすことで、ローカル・システム権限で実行されている機能を悪用でき、特権の昇格を可能にする。韓国語版IMEが有効になっており、ローカルもしくはリモート・デスクトップ・プロトコル(RDP)セッションを介して、ログオン画面を表示することが脆弱性を悪用するための条件となる。前述したとおり、ログオンに成功しなくても、ログオン画面を表示するだけで攻撃が可能だ。RDPは、デフォルトでは無効だが、リモート・デスクトップもしくはターミナル・サービスを手動で有効にした時点で有効になる。
このように日本語Windows環境において、MS06-009の脆弱性が攻撃を受ける危険性はそれほど高くない。ただし日本語環境でも、脆弱性のあるコンポーネントはインストールされており、何らかの理由で韓国語版IMEが有効になると、攻撃対象になる。このため通常は韓国語を利用しない場合でも、修正プログラムは適用しておいた方がよい。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows XP |
Windows XP SP1/SP1a/SP2 |
Windows Server 2003 |
Windows Server 2003 SP未適用/SP1 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
■日本語版Windowsも脆弱性の影響を受ける
MS06-009の脆弱性は、韓国語版IMEに起因するものである。そのためデフォルトでは、韓国語版Windows/Office製品だけがこの脆弱性の影響を受ける。しかし日本語版Windows
XP/Windows Server 2003にも韓国語版IMEは同梱されているため、手動で有効化できる。またMS06-009の脆弱性の原因となっているコンポーネント(imekr61.ime)も含まれている。マイクロソフトによれば、韓国語版IMEを有効にしなければ、脆弱性の影響は受けないとしている。しかし脆弱性の原因となるコンポーネントが含まれている以上、危険性はゼロではない。また英語版Windowsなどほかの言語のWindowsでも、韓国語版Office
2003製品や韓国語版IMEをインストールすると脆弱性の影響を受けることになる。
なおWindows OS向け修正プログラムについては、韓国語版IMEを有効にしたことがなくても適用は可能だ。ただし韓国語版Office 2003製品などをインストールした場合、修正プログラムの再適用が必要になる可能性もあるので注意した方がよい。
■MBSA 2.0の結果
修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に「{Windows
XP/Windows Server 2003} 用セキュリティ更新プログラム (KB901190)」が表示される。参考までにMBSA 1.21では、ローカル・スキャンでのみ確認が可能で、「韓国語版
Input Method Editor の脆弱性により、特権が昇格される (901190)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム (KB901190) |
Windows Server 2003 SP未適用/SP1 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB901190) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。韓国語版Office製品については、HotFix
Reportのサポート対象外のため、ファイル情報は割愛します。
Windows XP SP1/SP1a/SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB901190-x86-JPN.exe |
2005/10/19 |
1.0.0.0 |
545,008
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(sp1qfe)
|
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/18 |
6.1.2600.3 |
89,088
|
Microsoft Korean IME 2002 |
展開フォルダ
(sp2gdr)
|
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/19 |
6.1.2600.3 |
94,720
|
Microsoft Korean IME 2002 |
展開フォルダ
(sp2qfe)
|
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/18 |
6.1.2600.3 |
94,720
|
Microsoft Korean IME 2002 |
Windows Server 2003 SP未適用/SP1:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB901190-x86-JPN.exe |
2005/10/22 |
1.0.0.0 |
553,200
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(rtmgdr/rtmqfe) |
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/19 |
6.1.3790.1 |
92,160
|
Microsoft Korean IME 2002 |
展開フォルダ
(sp1gdr) |
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/20 |
6.2.2551.0 |
108,032
|
Microsoft Korean IME 2002 |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
imekr61.ime |
2005/10/19 |
6.2.2551.0 |
96,768
|
Microsoft Korean IME 2002 |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値あるいはファイルのバージョンを調べることで確認できる。
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB901190\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB901190\Filelist以下のファイル一覧を確認する
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsXP-KB901190-x86-JPN.exe
(Windows XP SP1/SP1a/SP2)
|
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB901190-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB901190-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用/SP1:
[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB901190-x86-JPN.exe」で登録
|
|