深刻度
|
|
1(緊急) |
→ |
2(重要) |
|
3(警告) |
|
4(注意) |
|
対策
|
早期適用
|
対象環境
|
|
再起動の必要性
|
あり
|
アンインストール
|
可
|
セキュリティ情報
|
|
サポート技術情報
|
|
よく寄せられる質問
|
|
含まれる過去の修正
|
なし
|
脆弱性識別番号
|
|
更新履歴
|
2003/04/17 セキュリティ情報ページを公開 |
|
MS03-013/811493 |
Windowsカーネル メッセージ処理の脆弱性により攻撃者のコードが実行可能になる危険性 |
(Windows カーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する) |
|
|
対応策 |
修正プログラムの適用作業を早期に開始してください。 |
|
概要 |
Windows NT/2000/XPのすべてのWindows環境において、データの削除などの操作が行われる危険性があります。OSの中核部分であるWindowsカーネルがデバッガにエラー
メッセージを渡す方法に問題が存在することによる脆弱性です。この脆弱性は、Windowsカーネルがデバッガにエラー メッセージを引き渡すために使用されるバッファが未チェック(メッセージの長さや不正なものかのチェックをしない)であるため、バッファ・オーバーフロー攻撃の対象になる可能性があります。
攻撃を行うためには、攻撃者がコンソールもしくはターミナル セッションを用いて、システムに対話的にログオン(接続されたキーボードなどを使ってパスワードの入力などでローカル
コンピュータにログオンする行為)し、悪意のあるコードを実行する必要があります。脆弱性を悪用することで、本来のアクセス権よりも高い権限で、攻撃者の事前に用意したコードが実行される危険性があります。これにより、攻撃者が管理者アカウントを作成したり、データの変更や削除などの操作したりできます。
この脆弱性を悪用するためには、対話的なログオンが必須です。ログオンできなければ、今回の脆弱性を悪用した攻撃は行えません。また、ログオンした権限により、悪意のコードを実行する必要もあります。そのため、サーバなどではエンド
ユーザーの権限を「Usersグループ」に設定することで、実行可能なプログラムを制限することも有効な回避策となります。ログオン アカウントならびにパスワードの再点検を行うとよいでしょう。利用されていないログオン
アカウントの整理やユーザー権限の見直しも実施してください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームで適用テストに通過しました。
MS03-013のWindows 2000用修正プログラムの中には、今回の脆弱性を修正するファイル以外にMS02-051、MS02-071、MS03-007で提供されているファイルと同じものが一部含まれています(kernel32.dllやwin32k.sysなど)。このうちMS02-071と今回のMS03-013の両方に含まれているファイルについては、MS02-071の方がバージョン番号がより新しいことを確認しました。しかし、各修正プログラムのインストールラが各ファイルのバージョンをチェックするため、あらかじめMS02-071がインストールされている環境にMS03-013をインストールても、MS03-013の中に含まれる古いバージョンのファイルに戻ることがないことも確認しています。何らかの事情で、修正プログラムを手動で展開して、個別にファイルを置き換えるような場合には十分にご注意ください。
またMS03-013には、Ntdll.dllというMS03-007で問題となったものと同じバージョンのファイルも含まれています。MS03-007の問題とは、Windows
2000 SP2向けに配布された一部のバージョンのNtoskrnl.exeとMS03-007のNtdll.dllを組み合わせると、再起動時にシステムがハングアップする、というものです。しかし、この問題はあくまでも、それぞれ特定バージョンのNtdll.dllとNtoskrnl.exeとを組み合わせることによる障害です。今回のMS03-013では、問題が発生しないバージョンのNtoskrnl.exeも同時にインストールされるため、障害は発生しないものと思われます。なお、MS03-013をインストールした際、Ntdll.dllとNtoskrnl.exeはともに、修正プログラムによる再起動の前にファイルが置き換えられます。つまり、再起動中にMS03-013同梱のNtdll.dllと置き換え前の古いNtoskrnl.exeが組み合わされてしまい、前述の障害が発生する、という状況が起きないことも確認しています。
|
|
追加情報(2003/09/03) |
Windows 2000 SP2にSUS/自動更新/Windows Updateカタログから入手したMS03-013の修正プログラムを適用するとブルースクリーンが発生する障害 |
マイクロソフトは、SUS/自動更新/Windows Updateカタログのいずれかから入手したMS03-013(Windows カーネル メッセージ処理のバッファ
オーバーランにより、権限が昇格する)の修正プログラムをWindows 2000 SP2に適用すると、ブルースクリーン(Windowsカーネルの暴走)が発生する障害があることを明らかにしました。これは、MS03-013の修正プログラムで置き換えられる「ntoskrnl.exe」と依存関係があり、同時に置き換えの必要があった「ntdll.dll」が、SUS/自動更新/Windows
Updateカタログで提供された修正プログラムに含まれていなかったため発生します。すでにこの問題を解消した修正プログラムが、8月28日よりSUS/自動更新/Windows
Updateカタログでも提供されています。
なお、ダウンロード・センターで提供されている修正プログラムについては、この障害は発生しません。またUpdateEXPERTは、ダウンロード・センターから修正プログラムをダウンロードし、適用を行っているため、この障害の影響を受けません。
|
|
|
追加情報(2003/05/30) |
Windows XP SP1/SP1aにおいて、MS03-013で提供された修正プログラムを提供すると、パフォーマンスが大幅に低下するという問題が発生することが明らかになっています。今回、この障害を取り除いた新しいWindows
XP用修正プログラムの提供が開始されました。詳細は、「HotFix Alert:MS03-013情報更新」をご参照ください。 |
|
追加情報(2003/04/25) |
MS03-013をWindows XP SP1に適用するとパフォーマンスが低下する恐れ |
MS03-013の修正プログラムをWindows XP SP1に適用すると、環境によってはパフォーマンスが低下するという問題が発生することが明らかになりました。すでに一部のオンライン・コミュニティなどでこの症状について報告がありましたが、2003年4月24日にマイクロソフトも正式にこの現象を認めました。マイクロソフトは、「修正プログラムの更新が完了し、完全にテストが行われた後に、再度リリースする予定です」と述べています。
パフォーマンス低下問題に触れた
「マイクロソフト セキュリティ情報(MS03-013)よく寄せられる質問」:
http://www.microsoft.com/japan/technet/security/bulletin/fq03-013.asp
マイクロソフトは、「ウイルス駆除ソフトウェアなど、一部サードパーティ製アプリケーションとの組み合わせによって発生する可能性があります」と述べています。MS03-013で置き換えられるカーネル・モジュールとウイルス駆除ソフトウェアのリアルタイム・スキャン機能との相性が、パフォーマンスを低下させる原因の1つのようです。マイクロソフトは、この障害の回避策として、ウイルス駆除ソフトウェアのアンインストールもしくはMS03-013の適用中止を勧めています。
Windows XP SP1のユーザーは、MS03-013で修正される脆弱性のリスク・レベルとパフォーマンスの問題を検討し、現在の修正プログラムを直ちに適用する必要があるか、修正プログラムが更新されるまで適用を延期するかを判断してください。なお、修正プログラムの更新前に本修正プログラムを適用する場合は、お手元の環境で十分なテストを実施し、パフォーマンス低下の影響を受けるかどうかを確認した上で判断してください。
■適用済みのMS03-013を取り除く方法
すでにMS03-013を適用し、パフォーマンス低下の影響を受けており、なおかつリスク・レベルを検討した結果、本修正プログラムを取り除きたい場合、以下の手順で削除することが可能です。
- [コントロール パネル]−[プログラムの追加と削除]を起動します。
- プログラムのリストから「Windows XP Hotfix (SP2) Q811493」を選択し、[削除]ボタンをクリックします。
- 起動したアンインストール ウィザードの指示に従って、Q811493を削除してください。
- 途中、「Q811493を削除すると、このプログラムが正しく動作しない可能性があります」という警告ダイアログ ボックスが表示されることがあります。ここでは、MS03-014を適用した後にインストールしたアプリケーション、ならびに修正プログラムが表示されます。念のため、プログラム
リストを書き留めるなどして、不具合の発生に備えるとよいでしょう。もし、何らかの不具合が発生した場合は、書き留めたアプリケーションを再インストールするなど、対策を実施してください。
- ウィザードが完了すると、自動的にシステムが再起動します。その後、UpdateEXPERTから対象のコンピュータに対してクエリを実行し、Q811493_WXP_SP2_x86_JPN.exe
のインストール ステータス アイコンの状態が「未インストール」に戻っていることを確認します。
これにより、MS03-013の適用前の状態になります。ただし脆弱性が残った状態となりますので、以後の運用には十分に注意してください。
なお、UpdateEXPERTではなく、Windows Updateの自動更新機能を利用してソフトウェア・アップデート管理を行っている場合、設定によっては、MS03-013をアンインストールしても、MS03-013が自動的に再インストールされてしまう可能性があります。この場合には、Windows
Updateの自動インストール機能を無効にして、手動によるインストールに切り替えてください。
|
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Windows NT 4.0 |
Windows NT SP6a |
Windows NT 4.0, Terminal Server
Edition |
Windows NT 4.0, Terminal Server Edition SP6a |
Windows 2000 |
Windows 2000 SP2/SP3 |
Windows XP |
Windows XP/XP SP1/XP SP1a |
(注意)Windows NT 4.0, Terminal
Server Editionは、UpdateEXPERTのサポート対象外です。 |
|
予想適用時間 |
修正プログラム番号 |
50台 |
100台 |
250台 |
500台 |
JPNQ811493i.EXE
(Windows NT) |
19分 |
27分 |
53分 |
1時間35分 |
Q811493_W2K_SP4_X86_JA.exe
(Windows 2000) |
19分 |
28分 |
55分 |
1時間40分 |
Q811493_WXP_SP2_X86_JPN.exe
(Windows XP) |
19分 |
28分 |
56分 |
1時間41分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Windows NT
[展開ビュー]−[OS]タブに「名前: JPNQ811493i.EXE」で登録
・Windows 2000:
[展開ビュー]−[OS]タブに「名前: Q811493_W2K_SP4_X86_JA.exe」で登録
・Windows XP:
[展開ビュー]−[OS]タブに「名前: Q811493_WXP_SP2_x86_JPN.exe」で登録
|
|
脆弱性の内容 |
Windowsカーネルがデバッガにエラー メッセージを渡す方法に問題が存在することによる脆弱性です。Windows NT/2000/XPにはデバッガが組み込まれており、エラー
メッセージが検出されると、デバッガがエラー メッセージを分析するために機能します。その際、Windowsカーネルはデバッガへのメッセージの受け渡しを管理します。このメッセージの受け渡しに使われる、メッセージの受信バッファが未チェック(メッセージの長さや不正なものかのチェックを行っていない)であることから脆弱性が起こります。これにより、バッファ・サイズよりも大きなエラー
メッセージが、カーネルとデバッガの間で受け渡されると、バッファ・オーバーフローが発生することになります。攻撃者は、バッファ・オーバーフローが発生するような不正なデバッガ
メッセージをWindowsカーネルに送ることにより、この脆弱性を悪用できます。
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Windows NT:
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
JPNQ811493i.EXE |
2003/04/17 |
1.16.118.0 |
1,558,264
|
|
展開ファイル |
%SystemRoot%\system32 |
Ntkrnlmp.exe |
2003/01/24 |
4.0.1381.7101 |
1,022,080
|
NT Kernel & System |
Ntoskrnl.exe |
2003/01/24 |
4.0.1381.7101 |
1,001,184
|
NT Kernel & System |
(注意)英語版とバージョン番号が異なります。サポート技術情報(英語版)では、バージョン番号が「4.0.1381.7203」となっています。
・Windows 2000:
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
Q811493_W2K_SP4_X86_JA.exe |
2003/04/17 |
5.3.16.5 |
5,231,120
|
|
展開ファイル |
%SystemRoot%\system32 |
Ntkrnlmp.exe |
2003/04/04 |
5.0.2195.6159 |
1,689,216
|
NT Kernel & System |
Ntkrnlpa.exe |
2003/04/04 |
5.0.2195.6159 |
1,688,832
|
NT Kernel & System |
Ntkrpamp.exe |
2003/04/04 |
5.0.2195.6159 |
1,709,440
|
NT Kernel & System |
Ntoskrnl.exe |
2003/04/04 |
5.0.2195.6159 |
1,666,944
|
NT Kernel & System |
展開ファイル |
%SystemRoot%\system32\dirvers |
Mountmgr.sys |
2003/02/04 |
5.0.2195.6661 |
29,264
|
Mount Manager |
MS02-071相当 |
%SystemRoot%\system32 |
Basesrv.dll |
2003/04/04 |
5.0.2195.5265 |
42,256
|
Windows NT BASE API Server DLL |
Gdi32.dll |
2002/08/15 |
5.0.2195.5907 |
222,992
|
GDI Client DLL |
Kernel32.dll |
2003/04/04 |
5.0.2195.6011 |
902,928
|
Windows NT BASE API Client DLL |
Kernel32.dll(ユニプロセッサ用) |
2003/04/04 |
5.0.2195.6011 |
902,928
|
Windows NT BASE API Client DLL |
Msgina.dll |
2003/04/04 |
5.0.2195.4733 |
332,560
|
Windows NT Logon Application |
user32.dll |
2003/04/04 |
5.0.2195.6000 |
379,664
|
Windows 2000 USER API Client DLL |
userenv.dll |
2003/04/04 |
5.0.2195.5968 |
369,936
|
Userenv |
win32k.sys |
2003/04/04 |
5.0.2195.6003 |
1,642,416
|
Multi-User Win32 Driver |
win32k.sys(ユニプロセッサ用) |
2003/04/04 |
5.0.2195.6003 |
1,642,416
|
Multi-User Win32 Driver |
winlogon.exe |
2003/04/04 |
5.0.2195.6013 |
179,472
|
Windows NT Logon Application |
winsrv.dll |
2003/04/04 |
5.0.2195.5935 |
258,832
|
Windows Server DLL |
winsrv.dll(ユニプロセッサ用) |
2003/04/04 |
5.0.2195.5935 |
258,832
|
Windows Server DLL |
MS03-007相当 |
%SystemRoot%\system32 |
Ntdll.dll |
2003/04/04 |
5.0.2195.6685 |
476,944
|
NT Layer DLL |
Ntdll.dll(ユニプロセッサ用) |
2003/04/04 |
5.0.2195.6685 |
476,944
|
NT Layer DLL |
MS02-051相当 |
%SystemRoot%\system32 |
rdpwd.sys |
2003/04/04 |
5.0.2195.6692 |
90,232
|
RDP Terminal Stack Driver |
rdpwd.sys(56bit版) |
2003/03/27 |
5.0.2195.6692 |
90,200
|
RDP Terminal Stack Driver |
(注意)背景が桜色のファイルは、今回の脆弱性とは直接関係のないものと思われます。
・ Windows XP
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
Q811493_WXP_SP2_x86_JPN.exe |
2003/04/17 |
5.3.10.0 |
6,072,168
|
|
展開ファイル(SP未適用) |
%SystemRoot%\system32 |
Ntkrnlmp.exe |
2002/12/12 |
5.1.2600.108 |
1,848,320
|
NT Kernel & System |
Ntkrnlpa.exe |
2002/12/12 |
5.1.2600.108 |
1,902,080
|
NT Kernel & System |
Ntkrpamp.exe |
2002/12/12 |
5.1.2600.108 |
1,874,944
|
NT Kernel & System |
Ntoskrnl.exe |
2002/12/12 |
5.1.2600.108 |
1,879,936
|
NT Kernel & System |
展開ファイル(SP1/SP1a) |
%SystemRoot%\system32 |
Ntkrnlmp.exe |
2002/12/12 |
5.1.2600.1150 |
1,892,352
|
NT Kernel & System |
Ntkrnlpa.exe |
2002/12/12 |
5.1.2600.1150 |
1,948,288
|
NT Kernel & System |
Ntkrpamp.exe |
2002/12/12 |
5.1.2600.1150 |
1,921,024
|
NT Kernel & System |
Ntoskrnl.exe |
2002/12/12 |
5.1.2600.1150 |
1,924,480
|
NT Kernel & System |
|
|
確認方法 |
修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。また、各クライアント上で以下のレジストリ・キーが登録されていることでも確認できます。
・Windows NT:
「適用されるファイルの情報」を参照の上、ファイルのバージョン番号をご確認ください。
・Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811493
・Windows XP:
HKEY_LOCAL_MACHINESoftware\Microsoft\Updates\Windows XP\SP1\Q811493
・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP2\Q811493
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Windows NT:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C3596ED1-596F-416C-8BE5-91AE65619A1A&displaylang=ja
・Windows NT 4.0, Terminal Server Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=910A0015-3723-4A4E-9049-99A4CE52B5F8&displaylang=ja
・Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CACAC8C0-81E9-413E-B565-5D7B3257A733&displaylang=ja
・Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F81E615-3DEC-4A4B-826A-4E0FEAB42323&displaylang=ja
また、Windows NT 4.0, Terminal Server Editionを除いて、すべてWindows
Updateからも修正プログラムの適用が可能です。
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
今回の脆弱性を悪用した攻撃を実行するには、「対話的なログオン(接続されたキーボードなどを使ってパスワードの入力などでローカル コンピュータにログオンする行為)」が必須の条件となります。ログオンおよびプログラムの読み込みを行う権限を制限することで、攻撃の実行を阻止することが可能です。また、各ユーザーが実行できる最低限の権限を制限することも重要です。
|
|
|