このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
 Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2007/02/16版
 
【登録日】2007/02/16
【更新日】2007/02/16
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
不要(必要な場合あり)
アンインストール
不可(Windows Vista+Windows Defenderは可)
対象環境
サーバ
クライアント
セキュリティ情報
MS07-010(日本)
MS07-010(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS07-010/932135
Microsoft Malware Protection EngineにおけるPDFファイル解析の未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性
(Microsoft Malware Protection Engine の脆弱性により、リモートでコードが実行される)

対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]
危険性
                 
SP待ち
  
早期適用
  
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 権限の昇格 情報の漏えい サービス拒否 なりすまし
 
       
 
‥‥‥ 概要 ‥‥‥

 Windows Live OneCare/Windows Defenderなどのマイクロソフト製セキュリティ・ソフトウェアが利用している「Malware Protection Engine」に脆弱性が存在する。細工されたPDF(Portable Document Format)ファイルをMalware Protection Engineが処理するように仕向けることで、脆弱性が悪用され、任意のコードが実行される危険性がある。

 細工されたPDFファイルを電子メールに添付して送付したり、Webページのリンクでダウンロードするように仕向けたりすることで攻撃が実行される。電子メールを受信したり、PDFファイルをダウンロードしたりすると、ユーザーの操作なしにコードが実行されてしまうので、危険性が高い。

 マイクロソフトによれば、MS07-010の脆弱性は非公開で報告されたとしており、現時点で実証コードや攻撃例は確認されていないという。ただし脆弱性が公開されたことから、悪用の危険性増大が予想される。至急、Malware Protection Engineを最新版に更新した方がよい。
 
脆弱性の内容

 Malware Protection Engineは、Windows Live OneCare/Windows Defenderなどが採用しているウイルス/スパイウェアのスキャン、検出、クリーニング機能を提供するエンジンである。

 このMalware Protection Engineが、PDFファイルを解析する過程に整数オーバーフローの脆弱性が存在する。そのため、細工されたPDFファイルが添付された電子メールなどを受信すると、Malware Protection Engineによってそのファイルが解析されてバッファ・オーバーフローが発生してしまい、結果として自動的にコードが実行されてしまう。
 
対象プラットフォーム
影響を受けるソフトウェア 対象プラットフォーム
Windows Live OneCare Windows Live OneCare
Antigen for Exchange Antigen for Exchange 9.x
Antigen for SMTP Gateways Antigen for SMTP Gateways 9.x
Windows Defender Windows Defender、Windows Vista+Windows Defender
Forefront Security for Exchange Server Forefront Security for Exchange Server
Forefront Security for SharePoint Forefront Security for SharePoint
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows XP SP2+Windows Defender
Windows Vista+Windows Defender
○は問題なし、△は一部に問題あり、×は適用による障害あり

■MBSA 2.0の結果
 MS07-010の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認できない。
 
適用時の注意点

■Malware Protection Engineは自動的に更新される
 Malware Protection Engineを利用するWindows Live OneCare/Windows Defenderなどは、自動更新機能をサポートしており、定義ファイルとともにMalware Protection Engineも更新する。一般的な修正プログラムと違い、MS07-010の修正プログラムはいずれもダウンロード・センターで提供されておらず、手動での更新手段が限られている。従って、なるべく各ソフトウェアの自動更新機能を有効にしておき、自動的にMalware Protection Engineを更新したほうが確実だろう。

 2007年2月16日現在、Windows Defenderが用いるMalware Protection Engineのバージョンは「1.1.2204.0」となっている。下表のエンジンのバージョン以降であれば、MS07-010の脆弱性は解消されている。

ソフトウェア 自動更新の手段 エンジンのバージョン
Windows Live OneCare Windows Live OneCareの自動更新 1.1.2101.0
Antigen for Exchange 9.x Forefront Serverのセキュリティ更新サービス 0.1.8.53
Antigen for SMTP Gateways 9.x Forefront Serverのセキュリティ更新サービス 0.1.8.53
Windows Defender Microsoft Update/Windows Defenderの自動更新 1.1.2101.0
Windows Defender(Windows Vista) Microsoft Update/Windows Defenderの自動更新 1.1.2101.0
Forefront Security for Exchange Server Forefront Serverのセキュリティ更新サービス 0.1.8.53
Forefront Security for SharePoint Forefront Serverのセキュリティ更新サービス 0.1.8.53
 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
Malware Protection Engineは自動更新で提供
 
‥‥‥ 適用されるファイル情報 ‥‥‥

自動更新のため、適用されるファイル情報は不明
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、下記の方法で確認できる。

・Windows Live OneCare:
  [ヘルプ]−[Windows Live OneCare のバージョン情報]で、「ウイルスとスパイウェアの定義ファイル」のバージョン番号が「1.1.2101.0」以降であることを確認

・Antigen for Exchange 9.x:
  [Antigen Administrator]−[Scanner Updates]−[Microsoft AV]で「Scanner Information」の「Engine Version」が「0.1.8.53」以降であることを確認

・Antigen for SMTP Gateways 9.x:
  [Antigen Administrator]−[Scanner Updates]−[Microsoft AV]で「Scanner Information」の「Engine Version」が「0.1.8.53」以降であることを確認

・Windows Defender:
  [ヘルプ]−[バージョン情報]の「エンジンのバージョン」のバージョン番号が「1.1.2101.0」以降であることを確認

・Windows Defender(Windows Vista):
  [ヘルプ]−[バージョン情報]の「エンジンのバージョン」のバージョン番号が「1.1.2101.0」以降であることを確認

・Forefront Security for Exchange Server:
 [Forefront Server Security Administrator]−[スキャナの更新]−[Microsoft Antimalware Engine]で「スキャナ情報」の「エンジンのバージョン」が「0.1.8.53」以降であることを確認

・Forefront Security for SharePoint:
 [Forefront Server Security Administrator]−[スキャナの更新]−[Microsoft Antimalware Engine]で「スキャナ情報」の「エンジンのバージョン」が「0.1.8.53」以降であることを確認
 
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。