このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/04/18日版

   
【登録日】2003/04/17
【更新日】2003/04/25
深刻度
  1(緊急)
2(重要)
  3(警告)
  4(注意)
対策
早期適用
対象環境
サーバ
クライアント
再起動の必要性
あり
アンインストール
セキュリティ情報
MS03-013(日本)
MS03-013(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-013
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2003/04/17 セキュリティ情報ページを公開
MS03-013/811493
Windowsカーネル メッセージ処理の脆弱性により攻撃者のコードが実行可能になる危険性
(Windows カーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する)
 

対応策
 修正プログラムの適用作業を早期に開始してください。
 
概要

 Windows NT/2000/XPのすべてのWindows環境において、データの削除などの操作が行われる危険性があります。OSの中核部分であるWindowsカーネルがデバッガにエラー メッセージを渡す方法に問題が存在することによる脆弱性です。この脆弱性は、Windowsカーネルがデバッガにエラー メッセージを引き渡すために使用されるバッファが未チェック(メッセージの長さや不正なものかのチェックをしない)であるため、バッファ・オーバーフロー攻撃の対象になる可能性があります。

 攻撃を行うためには、攻撃者がコンソールもしくはターミナル セッションを用いて、システムに対話的にログオン(接続されたキーボードなどを使ってパスワードの入力などでローカル コンピュータにログオンする行為)し、悪意のあるコードを実行する必要があります。脆弱性を悪用することで、本来のアクセス権よりも高い権限で、攻撃者の事前に用意したコードが実行される危険性があります。これにより、攻撃者が管理者アカウントを作成したり、データの変更や削除などの操作したりできます。

 この脆弱性を悪用するためには、対話的なログオンが必須です。ログオンできなければ、今回の脆弱性を悪用した攻撃は行えません。また、ログオンした権限により、悪意のコードを実行する必要もあります。そのため、サーバなどではエンド ユーザーの権限を「Usersグループ」に設定することで、実行可能なプログラムを制限することも有効な回避策となります。ログオン アカウントならびにパスワードの再点検を行うとよいでしょう。利用されていないログオン アカウントの整理やユーザー権限の見直しも実施してください。

 
DA Lab:HotFixテスティング・チームからのコメント

 修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームで適用テストに通過しました。

 MS03-013のWindows 2000用修正プログラムの中には、今回の脆弱性を修正するファイル以外にMS02-051、MS02-071、MS03-007で提供されているファイルと同じものが一部含まれています(kernel32.dllやwin32k.sysなど)。このうちMS02-071と今回のMS03-013の両方に含まれているファイルについては、MS02-071の方がバージョン番号がより新しいことを確認しました。しかし、各修正プログラムのインストールラが各ファイルのバージョンをチェックするため、あらかじめMS02-071がインストールされている環境にMS03-013をインストールても、MS03-013の中に含まれる古いバージョンのファイルに戻ることがないことも確認しています。何らかの事情で、修正プログラムを手動で展開して、個別にファイルを置き換えるような場合には十分にご注意ください。

 またMS03-013には、Ntdll.dllというMS03-007で問題となったものと同じバージョンのファイルも含まれています。MS03-007の問題とは、Windows 2000 SP2向けに配布された一部のバージョンのNtoskrnl.exeとMS03-007のNtdll.dllを組み合わせると、再起動時にシステムがハングアップする、というものです。しかし、この問題はあくまでも、それぞれ特定バージョンのNtdll.dllとNtoskrnl.exeとを組み合わせることによる障害です。今回のMS03-013では、問題が発生しないバージョンのNtoskrnl.exeも同時にインストールされるため、障害は発生しないものと思われます。なお、MS03-013をインストールした際、Ntdll.dllとNtoskrnl.exeはともに、修正プログラムによる再起動の前にファイルが置き換えられます。つまり、再起動中にMS03-013同梱のNtdll.dllと置き換え前の古いNtoskrnl.exeが組み合わされてしまい、前述の障害が発生する、という状況が起きないことも確認しています。

 
追加情報(2003/09/03)
Windows 2000 SP2にSUS/自動更新/Windows Updateカタログから入手したMS03-013の修正プログラムを適用するとブルースクリーンが発生する障害

 マイクロソフトは、SUS/自動更新/Windows Updateカタログのいずれかから入手したMS03-013(Windows カーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する)の修正プログラムをWindows 2000 SP2に適用すると、ブルースクリーン(Windowsカーネルの暴走)が発生する障害があることを明らかにしました。これは、MS03-013の修正プログラムで置き換えられる「ntoskrnl.exe」と依存関係があり、同時に置き換えの必要があった「ntdll.dll」が、SUS/自動更新/Windows Updateカタログで提供された修正プログラムに含まれていなかったため発生します。すでにこの問題を解消した修正プログラムが、8月28日よりSUS/自動更新/Windows Updateカタログでも提供されています。

 なお、ダウンロード・センターで提供されている修正プログラムについては、この障害は発生しません。またUpdateEXPERTは、ダウンロード・センターから修正プログラムをダウンロードし、適用を行っているため、この障害の影響を受けません。

 
追加情報(2003/05/30)
 Windows XP SP1/SP1aにおいて、MS03-013で提供された修正プログラムを提供すると、パフォーマンスが大幅に低下するという問題が発生することが明らかになっています。今回、この障害を取り除いた新しいWindows XP用修正プログラムの提供が開始されました。詳細は、「HotFix Alert:MS03-013情報更新」をご参照ください。
 
追加情報(2003/04/25)
MS03-013をWindows XP SP1に適用するとパフォーマンスが低下する恐れ

 MS03-013の修正プログラムをWindows XP SP1に適用すると、環境によってはパフォーマンスが低下するという問題が発生することが明らかになりました。すでに一部のオンライン・コミュニティなどでこの症状について報告がありましたが、2003年4月24日にマイクロソフトも正式にこの現象を認めました。マイクロソフトは、「修正プログラムの更新が完了し、完全にテストが行われた後に、再度リリースする予定です」と述べています。

パフォーマンス低下問題に触れた
「マイクロソフト セキュリティ情報(MS03-013)よく寄せられる質問」:
http://www.microsoft.com/japan/technet/security/bulletin/fq03-013.asp

 マイクロソフトは、「ウイルス駆除ソフトウェアなど、一部サードパーティ製アプリケーションとの組み合わせによって発生する可能性があります」と述べています。MS03-013で置き換えられるカーネル・モジュールとウイルス駆除ソフトウェアのリアルタイム・スキャン機能との相性が、パフォーマンスを低下させる原因の1つのようです。マイクロソフトは、この障害の回避策として、ウイルス駆除ソフトウェアのアンインストールもしくはMS03-013の適用中止を勧めています。

 Windows XP SP1のユーザーは、MS03-013で修正される脆弱性のリスク・レベルとパフォーマンスの問題を検討し、現在の修正プログラムを直ちに適用する必要があるか、修正プログラムが更新されるまで適用を延期するかを判断してください。なお、修正プログラムの更新前に本修正プログラムを適用する場合は、お手元の環境で十分なテストを実施し、パフォーマンス低下の影響を受けるかどうかを確認した上で判断してください。

■適用済みのMS03-013を取り除く方法
 すでにMS03-013を適用し、パフォーマンス低下の影響を受けており、なおかつリスク・レベルを検討した結果、本修正プログラムを取り除きたい場合、以下の手順で削除することが可能です。

  1. [コントロール パネル]−[プログラムの追加と削除]を起動します。
  2. プログラムのリストから「Windows XP Hotfix (SP2) Q811493」を選択し、[削除]ボタンをクリックします。
  3. 起動したアンインストール ウィザードの指示に従って、Q811493を削除してください。
  4. 途中、「Q811493を削除すると、このプログラムが正しく動作しない可能性があります」という警告ダイアログ ボックスが表示されることがあります。ここでは、MS03-014を適用した後にインストールしたアプリケーション、ならびに修正プログラムが表示されます。念のため、プログラム リストを書き留めるなどして、不具合の発生に備えるとよいでしょう。もし、何らかの不具合が発生した場合は、書き留めたアプリケーションを再インストールするなど、対策を実施してください。
  5. ウィザードが完了すると、自動的にシステムが再起動します。その後、UpdateEXPERTから対象のコンピュータに対してクエリを実行し、Q811493_WXP_SP2_x86_JPN.exe のインストール ステータス アイコンの状態が「未インストール」に戻っていることを確認します。

 これにより、MS03-013の適用前の状態になります。ただし脆弱性が残った状態となりますので、以後の運用には十分に注意してください。

 なお、UpdateEXPERTではなく、Windows Updateの自動更新機能を利用してソフトウェア・アップデート管理を行っている場合、設定によっては、MS03-013をアンインストールしても、MS03-013が自動的に再インストールされてしまう可能性があります。この場合には、Windows Updateの自動インストール機能を無効にして、手動によるインストールに切り替えてください。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア 対象プラットフォーム
Windows NT 4.0 Windows NT SP6a
Windows NT 4.0, Terminal Server Edition Windows NT 4.0, Terminal Server Edition SP6a
Windows 2000 Windows 2000 SP2/SP3
Windows XP Windows XP/XP SP1/XP SP1a
(注意)Windows NT 4.0, Terminal Server Editionは、UpdateEXPERTのサポート対象外です。
 
予想適用時間
修正プログラム番号 50台 100台 250台 500台
JPNQ811493i.EXE
(Windows NT)
19分 27分 53分 1時間35分
Q811493_W2K_SP4_X86_JA.exe
(Windows 2000)
19分 28分 55分 1時間40分
Q811493_WXP_SP2_X86_JPN.exe
(Windows XP)
19分 28分 56分 1時間41分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

・Windows NT
 [展開ビュー]−[OS]タブに「名前: JPNQ811493i.EXE」で登録

・Windows 2000:
 [展開ビュー]−[OS]タブに「名前: Q811493_W2K_SP4_X86_JA.exe」で登録

・Windows XP:
 [展開ビュー]−[OS]タブに「名前: Q811493_WXP_SP2_x86_JPN.exe」で登録

 
脆弱性の内容

 Windowsカーネルがデバッガにエラー メッセージを渡す方法に問題が存在することによる脆弱性です。Windows NT/2000/XPにはデバッガが組み込まれており、エラー メッセージが検出されると、デバッガがエラー メッセージを分析するために機能します。その際、Windowsカーネルはデバッガへのメッセージの受け渡しを管理します。このメッセージの受け渡しに使われる、メッセージの受信バッファが未チェック(メッセージの長さや不正なものかのチェックを行っていない)であることから脆弱性が起こります。これにより、バッファ・サイズよりも大きなエラー メッセージが、カーネルとデバッガの間で受け渡されると、バッファ・オーバーフローが発生することになります。攻撃者は、バッファ・オーバーフローが発生するような不正なデバッガ メッセージをWindowsカーネルに送ることにより、この脆弱性を悪用できます。

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。

・Windows NT:
ファイル名 日付 バージョン サイズ 機能
JPNQ811493i.EXE 2003/04/17 1.16.118.0
1,558,264
 
展開ファイル %SystemRoot%\system32
Ntkrnlmp.exe 2003/01/24 4.0.1381.7101
1,022,080
NT Kernel & System
Ntoskrnl.exe 2003/01/24 4.0.1381.7101
1,001,184
NT Kernel & System
(注意)英語版とバージョン番号が異なります。サポート技術情報(英語版)では、バージョン番号が「4.0.1381.7203」となっています。
 
・Windows 2000:
ファイル名 日付 バージョン サイズ 機能
Q811493_W2K_SP4_X86_JA.exe 2003/04/17 5.3.16.5
5,231,120
 
展開ファイル %SystemRoot%\system32
Ntkrnlmp.exe 2003/04/04 5.0.2195.6159
1,689,216
NT Kernel & System
Ntkrnlpa.exe 2003/04/04 5.0.2195.6159
1,688,832
NT Kernel & System
Ntkrpamp.exe 2003/04/04 5.0.2195.6159
1,709,440
NT Kernel & System
Ntoskrnl.exe 2003/04/04 5.0.2195.6159
1,666,944
NT Kernel & System
展開ファイル %SystemRoot%\system32\dirvers
Mountmgr.sys 2003/02/04 5.0.2195.6661
29,264
Mount Manager
MS02-071相当 %SystemRoot%\system32
Basesrv.dll 2003/04/04 5.0.2195.5265
42,256
Windows NT BASE API Server DLL
Gdi32.dll 2002/08/15 5.0.2195.5907
222,992
GDI Client DLL
Kernel32.dll 2003/04/04 5.0.2195.6011
902,928
Windows NT BASE API Client DLL
Kernel32.dll(ユニプロセッサ用) 2003/04/04 5.0.2195.6011
902,928
Windows NT BASE API Client DLL
Msgina.dll 2003/04/04 5.0.2195.4733
332,560
Windows NT Logon Application
user32.dll 2003/04/04 5.0.2195.6000
379,664
Windows 2000 USER API Client DLL
userenv.dll 2003/04/04 5.0.2195.5968
369,936
Userenv
win32k.sys 2003/04/04 5.0.2195.6003
1,642,416
Multi-User Win32 Driver
win32k.sys(ユニプロセッサ用) 2003/04/04 5.0.2195.6003
1,642,416
Multi-User Win32 Driver
winlogon.exe 2003/04/04 5.0.2195.6013
179,472
Windows NT Logon Application
winsrv.dll 2003/04/04 5.0.2195.5935
258,832
Windows Server DLL
winsrv.dll(ユニプロセッサ用) 2003/04/04 5.0.2195.5935
258,832
Windows Server DLL
MS03-007相当 %SystemRoot%\system32
Ntdll.dll 2003/04/04 5.0.2195.6685
476,944
NT Layer DLL
Ntdll.dll(ユニプロセッサ用) 2003/04/04 5.0.2195.6685
476,944
NT Layer DLL
MS02-051相当 %SystemRoot%\system32
rdpwd.sys 2003/04/04 5.0.2195.6692
90,232
RDP Terminal Stack Driver
rdpwd.sys(56bit版) 2003/03/27 5.0.2195.6692
90,200
RDP Terminal Stack Driver
(注意)背景が桜色のファイルは、今回の脆弱性とは直接関係のないものと思われます。
 
・ Windows XP
ファイル名 日付 バージョン サイズ 機能
Q811493_WXP_SP2_x86_JPN.exe 2003/04/17 5.3.10.0
6,072,168
 
展開ファイル(SP未適用) %SystemRoot%\system32
Ntkrnlmp.exe 2002/12/12 5.1.2600.108
1,848,320
NT Kernel & System
Ntkrnlpa.exe 2002/12/12 5.1.2600.108
1,902,080
NT Kernel & System
Ntkrpamp.exe 2002/12/12 5.1.2600.108
1,874,944
NT Kernel & System
Ntoskrnl.exe 2002/12/12 5.1.2600.108
1,879,936
NT Kernel & System
展開ファイル(SP1/SP1a) %SystemRoot%\system32
Ntkrnlmp.exe 2002/12/12 5.1.2600.1150
1,892,352
NT Kernel & System
Ntkrnlpa.exe 2002/12/12 5.1.2600.1150
1,948,288
NT Kernel & System
Ntkrpamp.exe 2002/12/12 5.1.2600.1150
1,921,024
NT Kernel & System
Ntoskrnl.exe 2002/12/12 5.1.2600.1150
1,924,480
NT Kernel & System
 
確認方法

 修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。また、各クライアント上で以下のレジストリ・キーが登録されていることでも確認できます。

・Windows NT:
「適用されるファイルの情報」を参照の上、ファイルのバージョン番号をご確認ください。

・Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811493

・Windows XP:
HKEY_LOCAL_MACHINESoftware\Microsoft\Updates\Windows XP\SP1\Q811493

・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP2\Q811493

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

・Windows NT:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C3596ED1-596F-416C-8BE5-91AE65619A1A&displaylang=ja

・Windows NT 4.0, Terminal Server Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=910A0015-3723-4A4E-9049-99A4CE52B5F8&displaylang=ja

・Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CACAC8C0-81E9-413E-B565-5D7B3257A733&displaylang=ja

・Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F81E615-3DEC-4A4B-826A-4E0FEAB42323&displaylang=ja

 また、Windows NT 4.0, Terminal Server Editionを除いて、すべてWindows Updateからも修正プログラムの適用が可能です。

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

 今回の脆弱性を悪用した攻撃を実行するには、「対話的なログオン(接続されたキーボードなどを使ってパスワードの入力などでローカル コンピュータにログオンする行為)」が必須の条件となります。ログオンおよびプログラムの読み込みを行う権限を制限することで、攻撃の実行を阻止することが可能です。また、各ユーザーが実行できる最低限の権限を制限することも重要です。

 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp