このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2007/06/13
不具合ならびに追加情報
情報の種類 セキュリティ番号 タイトル
脆弱性 −/− Internet Explorerの競合状態で情報漏えいが起きる危険性
ツール −/− Windows Server 2003 SP2の配信を一時的に停止するツールの提供開始
不具合 −/− そのほかの不具合情報
 
[脆弱性]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Internet Explorerの競合状態で情報漏えいが起きる危険性
情報ソース Michal Zalewski氏(lcamtuf.coredump.cx)
情報の内容 Internet Explorerの脆弱性
条件 Internet Explorerの利用
報告日 2007年6月4日

 Michal Zalewski氏は、Internet Explorer(IE)で競合状態を起こすことで、セキュリティ制限をバイパスして、攻撃者が情報を取得できる脆弱性が存在することを報告した。

・Michal Zalewski(MSIE bait & switch vulnerability demo):
http://lcamtuf.coredump.cx/ierace/

 攻撃は、細工したWebページを開くだけで実行される。JavaScriptにより、Webページの移動を繰り返すと、競合状態が起こり、Cookieのデータが取得されたり、データの操作が行われたりする危険性がある。Michal Zalewski氏は、実証コードを公開しており、危険性の高い(CRITICAL)の脆弱性であるとしている。

 現在のところ、マイクロソフトからこの脆弱性に対する情報や修正プログラムの提供はない。不審なWebページへのリンクはクリックしないなど、運用で回避する必要がある。
情報の対象:
 Internet Explorer 6 SP1
 Internet Explorer 6(Windows XP)
 Internet Explorer 6(Windows Server 2003)
 Internet Explorer 7

脆弱性識別番号:
・CVE-2007-3091
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3091

HotFix Report BBS関連スレッド:
・Internet ExplorerとFirefoxに脆弱性、パッチ未提供
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6897
   
[ツール]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Windows Server 2003 SP2の配信を一時的に停止するツールの提供開始
情報ソース マイクロソフト
情報の内容 Windows Server 2003 SP2の配信を一時停止するツールの提供
条件 Windows Server 2003 SP未適用/SP1/R2の利用
報告日 2007年6月6日

 マイクロソフトは、Windows Server 2003 SP未適用/SP1/R2に対して、自動更新やWindows Update/Microsoft Updateによる自動配信を一時的に停止するブロック・ツールの提供を開始した。提供されているツールは、英語版のみだが、日本語版Windows Server 2003でも利用可能だ。

・ダウンロード・センター(Windows Server 2003 Service Pack 2 の配信を一時的に停止するためのツールキット (英語)):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=d9f3faaf-3b69-404b-8ddd-b07227ae6b99&DisplayLang=ja

 このツールは、Windows Server 2003 SP未適用/SP1/R2に対して、自動更新で修正プログラムの適用などを設定している場合、SP2も適用されてしまうことを防ぐためのものだ。SP2は、重要な更新として提供されているため、自動更新で自動適用を選択している場合、SP2の適用が開始される。しかし、サーバにおけるアプリケーションの互換性の確認といった理由から、SP2の適用を当面回避したいという要求もある。そこで、マイクロソフトでは、2008年3月13日まで、自動更新による適用が延期可能なツールの提供を開始した。

 ツールには、実行可能ファイル(SPBlockingTool.exe)とスクリプト(SPreg.cmd)、ADMテンプレート(NoSPupdate.adm)が含まれている。SPBlockingTool.exeを/Bオプションを付けて実行すると、以下のレジストリ・キーが作成され、自動配信の一時停止が設定される。自動配信を再開する場合には、SPBlockingTool.exeを/Uオプションを付けて実行すればよい。

設定項目 設定値
レジストリ・キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
キー値の名前 DoNotAllowSP
値の型 DWORD
キー値のデータ 1

 スクリプトもSPBlockingTool.exeと同様の操作を実行するが、ツールを実行するマシン名が指定できるため、遠隔地にあるWindows Server 2003に対して設定が可能だ。ADMテンプレートは、グループ・プリシーによる自動配信の設定が可能になる。

 Windows Server 2003 SP未適用/SP1/R2を利用していて、SP2のインストールを当面回避したいような場合は、このツールを実行しておくとよい。
情報の対象:
 Windows Server 2003

HotFix Report BBS関連スレッド:
・Windows Server 2003 SP2の自動更新
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6885
   

■そのほかの不具合/追加情報

・サポート技術情報 935936(Windows Vista-based コンピュータの STOP エラー メッセージを表示します。:「(0x00000000 、 0x7ffdc000 、 0x0000ffff 、 0x00000000) 0x00000001 を停止します」):[Windows Vista]
http://support.microsoft.com/default.aspx?scid=kb;ja;935936(機械翻訳)

・サポート技術情報 938578(Windows Vista で タスクトレイにある [ハードウェアの安全な取り外し] アイコンをクリックして取り外そうとすると、外付けの光学式ドライブの取り外しが拒否されることがある):[Windows Vista]
http://support.microsoft.com/default.aspx?scid=kb;ja;938578

・サポート技術情報 938684(Windows Vista で DVD-RAM メディアのフォーマットを途中で中断すると、メディアを使用できなくなる):[Windows Vista]
http://support.microsoft.com/default.aspx?scid=kb;ja;938684

・サポート技術情報 938315(スリープからのコンピュータを再開した後、 Windows Vista-based コンピュータが接続された USB ビデオ・カメラは、イメージを表示しないことがあります):[Windows Vista]
http://support.microsoft.com/default.aspx?scid=kb;ja;938315(機械翻訳)

・サポート技術情報 919709(長い時間 DHCP クライアントが Windows Server 2003 を実行しているDNS サーバーでの名前を登録するために、かかることがあります):[Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;919709(機械翻訳)

・サポート技術情報 937484(スプラッシュ画面が表示されたら、 Windows Server 2003 ベースのコンピュータは、応答を停止します):[Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;937484(機械翻訳)

・サポート技術情報 905873(Windows Server 2003 ベースのサーバーで発生することがあるパフォーマンスの問題):[Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;905873(機械翻訳)

・サポート技術情報 935786(さらに、ユーザー アカウントが Administrators グループに所属する場合、 Internet Explorer 7 がインストールされると、「サイトを信頼した」ゾーンに Web サイトは追加できません):[IE 7]
http://support.microsoft.com/default.aspx?scid=kb;ja;935786(機械翻訳)

・サポート技術情報 938302(Internet Explorer 7 の Web ページでのフレームに操作を実行するとき、エラー メッセージ:「 Access denied」
):[IE 7]
http://support.microsoft.com/default.aspx?scid=kb;ja;938302(機械翻訳)

・サポート技術情報 918790(Word 2007 文書で複数部の印刷ができない):[Word 2007]
http://support.microsoft.com/default.aspx?scid=kb;ja;918790

・サポート技術情報 937623(Word 2002 または Word 2003 に段落にリスト スタイルを適用すると、段落スタイルが突然変更されます):[Word 2002][Word 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;937623(機械翻訳)

・サポート技術情報 924667([MS07-012] Microsoft Foundation Class の脆弱性により、リモートでコードが実行される):[Windows Server 2003 SP未適用/SP1/R2]
http://support.microsoft.com/default.aspx?scid=kb;ja;924667
http://www.microsoft.com/downloads/details.aspx?
FamilyID=934ca609-d6bc-4bf0-8233-969eb43d48bb&DisplayLang=ja
#MS07-012のWindows Server 2003 SP未適用/SP1/R2/SP2向け修正プログラムの再リリース

・ダウンロード・センター(Virtual Server 2005 R2 SP1):[Virtual Server 2005 R2]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=bc49c7c8-4840-4e67-8dc4-1e6e218acce4&DisplayLang=ja
#無償公開中のVirtual Server 2005 R2 Enterprise Edition向けSP1の提供

・ダウンロード・センター(Windows Vista 用 Windows Mobile デバイス センター 6.1 (32 ビット)):[Windows Vista]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=46f72df1-e46a-4a5f-a791-09f07aaa1914&DisplayLang=ja
#Windows Vistaで、Windows Mobile搭載デバイスとのパートナーシップの設定、コンテンツの同期、音楽/画像/ビデオの管理を可能にするツールの提供
 
UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。