■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP1a |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
■サードパーティ製品のサービスに対する脆弱性は解消しない
MS06-011の修正プログラムは、Windows XP SP1/SP1aとWindows Server 2003 SP未適用にデフォルトで提供されているサービスのDACLの設定を変更し、脆弱性を解消するものである。そのため、Sudhakar
Govindavajhala氏とAndew W. Appel氏の報告書でも指摘されていたMacromedia Licensing Serviceなどのサードパーティ製品が提供するサービスに対する脆弱性は解消されない。
脆弱性が存在するサードパーティ提供のサービスが動作している場合、このMS06-011の修正プログラム適用後も攻撃を受ける可能性が依然として残る。これに対処するには、サードパーティから提供される修正プログラムを適用するなどが必要だ。前出のMacromedia
Licensing Serviceについては、マクロメディア(現アドビ システムズ)が修正プログラムを公開している。
・マクロメディア(MPSB05-04 :Macromedia eライセンスのクライアントライセンス認証コードの使用における潜在的なセキュリティリスク):
http://www.macromedia.com/jp/devnet/security/security_zone/mpsb05-04.html
■この修正プログラムによってDACLの設定が変更されるサービス
MS06-011の修正プログラムでは、以下のサービスのDACLの設定が変更される。
サービス名 |
表示名 |
Windows XP SP1/SP1a |
Windows Server 2003 SP未適用 |
Dhcp |
DHCP Client |
変更される |
変更される |
Dnscache |
DNS Client |
変更される |
変更される |
MSDTC |
Distributed Transaction Coordinator |
変更される |
変更される |
NetBT |
NetBT |
変更される |
変更される |
SCardSvr |
Smart Card |
変更される |
− |
SSDPSRV |
SSDP Discovery Service |
変更される |
− |
SysmonLog |
Performance Logs and Alerts |
− |
変更される |
upnphost |
Universal Plug and Play Device Host |
変更される |
− |
■Windows 2000も脆弱性の影響を受ける可能性あり
MS06-011の修正プログラムは、Windows 2000を対象としていない。しかしTechNetセキュリティ情報によれば、サードパーティ製品がインストールするサービスのDACLの設定によっては、脆弱性の影響を受けるとしている。
■この修正プログラムはアンインストールできない
MS06-011の修正プログラムは、上述の各サービスのDACLと、サービスに関連するレジストリ・キーのDACLの書き換えのみが実行される。置き換わるファイルはなく、修正プログラムのアンインストールはできないので、大規模に展開する前に十分な検証を行うことを勧める。なお修正プログラムで変更される前(デフォルト)の各サービスのDACLとレジストリの値は、「サポート技術情報:914798」に記載されている。修正プログラムの適用によって何らかの障害が発生した場合は、この情報を元にDACLとレジストリ値を変更すればよい。
・サポート技術情報 914798(MS06-011: Permissive Windows services DACLs could lead to
elevation of privilege):
http://support.microsoft.com/default.aspx?scid=kb;ja;914798
■MBSA 2.0の結果
修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に「{Windows
XP/Windows Server 2003} 用セキュリティ更新プログラム (KB914798)」が表示される。参考までにMBSA 1.21では、「制限の少ない
Windows サービスの DACL により、特権が昇格される (914798)」が表示される。
|