| MS03-021/819639 |
| Windows Media Player 9の脆弱性により、情報漏洩が起きる可能性 |
| (Windows Media Playerの問題により、メディア ライブラリがアクセスされる) |
| |
|
| 対応策 |
| 早期に修正プログラムの適用作業を開始してください。 |
|
| 概要 |
|
Windows Media Player 9シリーズに含まれるActiveXコントロールを使うと、ストリーミング・メディアを再生したり、ユーザーが再生/停止を制御できるようなWebページを作成したりすることができます。このActiveXコントロールに脆弱性があり、Windows
Media Player 9シリーズの音楽リストなどが記述されたファイル(メタ・データ・ファイル)が読み出されたり、改変されたりする危険性があります。このメタ・データ・ファイルには、Windows
Media Player 9が音楽データなどを保存するフォルダ名がフルパスで記述されているため、ユーザー・フォルダ名(つまりユーザー名)が含まれます。これにより、攻撃者は間接的にユーザー名を取得することが可能になります。
|
|
| DA Lab:HotFixテスティング・チームからのコメント |
|
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
修正プログラムは、Windows Server 2003用とそれ以外のWindowsプラットフォーム用の2種類が用意されていますが、両者はインストーラが異なるだけで、置き換えるファイル(Wmp.dll)はまったく同じものです。
|
|
| 対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Microsoft Windows Media Player
9シリーズ |
Windows 98/98 SE/Me/2000 SP2/2000 SP3/2000
SP4/XP SP未適用/XP SP1/XP SP1a/Windows Server 2003+Windows Media Player 9 |
(注意)Windows 98/98 SE/Me/Windows
Server 2003は、UpdateEXPERTのサポート対象外です。Windows 2000 SP4 日本語版は、近日中公開予定です。公開後、対象となります。 |
|
| 予想適用時間 |
| 修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsMedia9-KB819639-x86-JPN.exe
(Windows Server 2003以外)
|
13分 |
21分 |
47分 |
1時間30分 |
WindowsMedia9-KB819639-x86-JPN.exe
(Windows Server 2003)
|
13分 |
21分 |
47分 |
1時間30分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
| UpdateEXPERT上の表示 |
|
[展開ビュー]-[Media]タブに「名前: WindowsMedia9-KB819639-x86-JPN.exe」で登録
|
|
| 脆弱性の内容 |
|
Webページでストリーミング・メディアの再生などを行う場合、Windows Media Player 9に含まれるActiveXコントロールが用いられます。このときActiveXコントロールは、Windows
Media Playerが管理しているアーチスト名やアルバム名などの曲またはビデオ・ファイルに関する情報が記述されたメタ・データ・ファイルにアクセスします。このメタ・データ・ファイルを操作する方法に脆弱性が存在するため、情報の取得や改変が可能になります。なおメタ・データは、Windows
Media Player 9の既定で以下のファイルに保存されています。
\Documents and Settings\<ユーザー・フォルダ>\Local Settings\Application Data\Microsoft\Media
Player\CurrentDatabase_59R.wmdb
|
|
| 適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・ Microsoft Windows Media Player 9シリーズ(Windows Server 2003以外):
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsMedia9-KB819639-x86-JPN.exe |
2003/06/26 |
6.0.2600.0 |
1,932,936
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32\ |
| Wmp.dll |
2003/06/05 |
9.0.0.3008 |
4,653,056
|
Windows Media Player Core |
・ Microsoft Windows Media Player 9シリーズ(Windows Server 2003):
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsMedia9-KB819639-x86-JPN.exe |
2003/06/26 |
5.3.18.4 |
2,057,352
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32\ |
| Wmp.dll |
2003/06/05 |
9.0.0.3008 |
4,653,056
|
Windows Media Player Core |
|
|
| 確認方法 |
|
修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。また、各クライアント上で以下のレジストリ・キーが登録されていることでも確認できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Media Player\wm819639
|
|
| 修正プログラム |
|
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Microsoft Windows Media Player 9シリーズ(Windows Server 2003以外):
http://www.microsoft.com/downloads/details.aspx?FamilyID=36814221-8194-4492-bb29-94db3d4cb682&DisplayLang=ja
・Microsoft Windows Media Player 9シリーズ(Windows Server 2003):
http://www.microsoft.com/downloads/details.aspx?FamilyID=82cd6192-15d8-4e28-9b14-f9b78ff01d8a&DisplayLang=ja
|
| |
