このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2004/10/16日版

 
【登録日】2004/10/15
【更新日】2004/10/16
HFR BBS会議室
 
深刻度
  1(緊急)
2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
早期適用
再起動の必要性
必要
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS04-031(日本)
MS04-031(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq04-031
含まれる過去の修正
MS02-071
MS03-045
(どちらもWindows 2000のみ)
脆弱性識別番号
MS04-031/841533
NetDDEサービスの未チェック・バッファの脆弱性により、リモートでコードが実行される危険性
(NetDDE の脆弱性により、リモートでコードが実行される)

緊急対応度:適用作業の早期開始

危険性 脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。
                 
SP待ち
 
早期適用
 
緊急適用

 NetDDE(Network Dynamic Data Exchange)サービスに未チェック・バッファの脆弱性が存在する。この脆弱性が悪用されると、最悪の場合コンピュータの制御が完全に奪われる。ただし、NetDDEサービスはデフォルトでは有効ではないため、攻撃が広範囲に広がる可能性は低い。インターネットに接続しているコンピュータは、細工したメッセージによるリモートでの攻撃が行われる可能性があるので、何らかの理由からNetDDEサービスが起動している場合は、至急に修正プログラムを適用した方がよい。またNetDDEサービスを利用していない場合でも、潜在的な脆弱性となるので、なるべく早い時期に修正プログラムを適用すべきだ。なおマイクロソフトによれば、MS04-031の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。

 

概要

 古いネットワーク通信メソッドであるNetDDEサービスに未チェック・バッファの脆弱性が存在し、細工されたメッセージを受信すると、サービスが異常終了(DoS攻撃)したり、任意のプログラムが実行されてコンピュータの制御が奪われたりする。

 Windows Server 2003は、NetDDEサービスのスタートアップの種類がデフォルトで「無効」になっているため、NetDDEサービスを利用するアプリケーションをインストールするか、何らかの理由により手動でサービスを起動していない限り、脆弱性の影響は受けない(脆弱性を持つモジュールは存在するため、潜在的な脆弱性は存在する)。またWindows XP SP2は、脆弱性の影響を受けないとしている。

 それ以外のWindows OSでは、NetDDEサービスのスタートアップの種類がデフォルトで「手動」になっているため、特権を持たないユーザーがサービスを開始したり、アプリケーションがサービスを開始したりすることが可能だ。場合によってはウイルスなどによってNetDDEサービスが開始され、さらにこの脆弱性が悪用されるということも考えられる。

 

対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Windows NT Server 4.0 Windows NT Server 4.0 SP6a
Windows NT Server 4.0 Terminal Server Edition Windows NT Server 4.0 Terminal Server Edition, SP6
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP未適用/SP1/SP1a
Windows Server 2003 Windows Server 2003
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows NT Server 4.0 SP6a
Windows 2000 Professional SP3
Windows 2000 Professional SP4
Windows 2000 Server SP3
Windows 2000 Server SP4
Windows 2000 Advanced Server SP3
Windows 2000 Advanced Server SP4
Windows XP SP未適用
Windows XP SP1
Windows XP SP1a
Windows Server 2003, Standard Edition
Windows Server 2003, Enterprise Edition

■Windows 2000向けのMS04-031とMS04-032の修正プログラムは両方の適用が必要
 Windows 2000向けのMS04-031とMS04-032の修正プログラムでは、多くのファイルが共通である。しかし包含関係にないため、両方の修正プログラムを適用する必要がある。DA Labで確認したところ、MS04-031とMS04-032のどちらを先に適用しても、ぞれぞれの最新バージョンのファイルに置き換わった。なお、両方の修正プログラムに共通のファイルは、更新日付は異なるものの、同一バージョンであった。MS04-031の修正プログラムには、MS04-011と共通のファイルも含まれており、独自に更新するファイルはNetDDE関連の「nddenb32.dll」「netdde.exe」だけである。

■Windows 98/98SE/Meにも脆弱性
 TechNetセキュリティ情報によれば、Windows 98/98SE/MeにもNetDDEサービスの脆弱性が存在する。ただし「緊急ではない」ため、修正プログラムの提供は行われない。回避策を実施するなど、運用には注意が必要となる。

■Windows NT Workstation 4.0 SP6a/2000 SP2向け修正プログラムは提供されない
 Windows NT Workstation 4.0 SP6a/2000 SP2は、2004年6月30日のサポート・ライフサイクルが終了したため、MS04-031の修正プログラムは提供されない。Windows 2000 SP2では、まずSP3またはSP4を適用してから、対応する修正プログラムを適用する。一方、Windows NT Workstation 4.0 SP6aについては、脆弱性を解消する手段がないため、OS自体のバージョンアップが必要だ。

■MBSA 1.21の結果
 MS04-031の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windows のセキュリティの更新」の「結果の詳細情報」に、「NetDDE の脆弱性により、リモートでコードが実行される (841533)」が表示される。

 
‥‥‥ 詳細情報 ‥‥‥

 MS04-031の脆弱性の対象であるNetDDEは、2つのアプリケーションがネットワーク上で互いに通信することを可能にするサービスである。このような通信方式は、すでにDCOMなどの新しい技術に置き換わっており、ほとんど利用されなくなっている。NetDDEを利用しているアプリケーションとしては、Windows for Workgroups 3.11上のMSHearts(ゲームのハーツ)やMSChat(チャット・アプリケーション)などが挙げられる。また一部のサードパーティ製アプリケーションでNetDDEサービスが利用されている可能性がある。

 つまりNetDDEサービスは、過去の製品との互換性のために実装されている。現在では、利用しているアプリケーションはほとんどないものと思われる。NetDDEサービスが利用されているかどうかは、[管理ツール]−[サービス]を起動し、[サービス]ダイアログの「Network DDE」のプロパティで調べる。「サービスの状態」が「開始」の場合はNetDDEサービスが利用されている。サービスが利用されていない場合は、「参考情報」に従ってNetDDEサービスを「無効」にしておくとよい。これにより、NetDDEサービスに関係する新たな脆弱性が見つかった場合でも回避可能になる。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター Windows Update/SUSの表示
Windows NT Server 4.0 SP6a
Windows NT Server 4.0 Terminal Server Edition, SP6
Windows 2000 SP3/SP4 Windows 2000 用セキュリティ更新プログラム (KB841533)
Windows XP SP未適用/SP1/SP1a Windows XP 用セキュリティ更新プログラム (KB841533)
Windows Server 2003 Windows Server 2003 用セキュリティ更新プログラム (KB841533)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Windows NT Server 4.0 SP6a:
ファイル名 日付 バージョン サイズ
WindowsNT4Server-KB841533-x86-JPN.exe 2004/06/17 5.4.15.0
147,096
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
nddenb32.dll 2004/05/27 4.0.1381.7274
20,928
Network DDE NetBIOS Interface
netdde.exe 2004/06/16 4.0.1381.7288
126,576
Network DDE - DDE Communication
 
Windows NT Server 4.0 Terminal Server Edition, SP6:
ファイル名 日付 バージョン サイズ
WindowsNT4TerminalServer-KB841533-x86-JPN.exe 2004/06/17 5.4.15.0
153,480
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
cxnetdde.exe 2004/06/15 4.0.1381.39789
111,216
Multi-User Network DDE - DDE Communication
nddenb32.dll 2004/05/27 4.0.1381.39783
20,928
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 4.0.1381.39790
61,920
Network DDE - DDE Communication
 
Windows 2000 SP3/SP4:
ファイル名 日付 バージョン サイズ
Windows2000-KB841533-x86-JPN.EXE 2004/08/25 5.5.31.0
2,374,648
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\System32\
basesrv.dll 2004/06/22 5.0.2195.6951
46,352
Windows NT BASE API Server DLL
cmd.exe 2004/03/24 5.0.2195.6824
312,592
Windows NT Command Processor
gdi32.dll 2004/06/22 5.0.2195.6945
231,184
GDI Client DLL
kernel32.dll 2004/06/22 5.0.2195.6946
906,512
Windows NT BASE API Client DLL
mf3216.dll 2004/06/22 5.0.2195.6898
37,136
32-bit to 16-bit Metafile Conversion DLL
mpr.dll 2004/06/22 5.0.2195.6824
54,544
Multiple Provider Router DLL
msgina.dll 2004/06/22 5.0.2195.6928
17,168
Windows NT Logon Application
nddenb32.dll 2004/06/22 5.0.2195.6922
33,824
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 5.0.2195.6952
110,352
Network DDE - DDE Communication
sp3res.dll 2004/05/17 5.0.2195.6928
464,896
Service Pack 3 Messages
user32.dll 2004/03/24 5.0.2195.6897
403,216
Windows 2000 USER API Client DLL
userenv.dll 2004/08/06 5.0.2195.6794
385,808
Userenv
win32k.sys 2004/08/11 5.0.2195.6966
1,632,624
Multi-User Win32 Driver
winlogon.exe 2004/08/25 5.0.2195.6970
182,544
Windows NT Logon Application
winsrv.dll 2004/06/22 5.0.2195.6946
259,856
Windows Server DLL
展開フォルダ %SystemRoot%\System32\drivers\
rdpwd.sys 2004/03/24 5.0.2195.6892
90,264
RDP Terminal Stack Driver
背景が薄紫色のファイルはMS04-011と同じもの、クリーム色のファイルはMS04-032と同じもの
 
Windows XP SP未適用/SP1/SP1a:
ファイル名 日付 バージョン サイズ
WindowsXP-KB841533-x86-jpn.exe 2004/09/28 1.0.0.0
720,616
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(SP未適用)
%SystemRoot%\System32\
nddenb32.dll 2004/06/17 5.1.2600.149
15,360
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 5.1.2600.158
103,936
Network DDE - DDE Communication
winlogon.exe 2004/06/17 5.1.2600.149
420,864
Windows NT Logon Application
展開フォルダ
(SP1/SP1a)
%SystemRoot%\System32\
nddenb32.dll 2004/06/17 5.1.2600.1555
15,360
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 5.1.2600.1567
103,936
Network DDE - DDE Communication
winlogon.exe 2004/06/17 5.1.2600.1557
473,600
Windows NT Logon Application
背景がクリーム色のファイルはMS04-032と同じもの
 
Windows Server 2003:
ファイル名 日付 バージョン サイズ
WindowsServer2003-KB841533-x86-jpn.EXE 2004/09/25 1.0.0.0
385,264
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(RTMGDR)
%SystemRoot%\system32\
nddenb32.dll 2004/06/17 5.2.3790.173
15,872
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 5.2.3790.184
101,376
Network DDE - DDE Communication
展開フォルダ
(RTMQFE)
%SystemRoot%\system32\
nddenb32.dll 2004/06/17 5.2.3790.173
15,872
Network DDE NetBIOS Interface
netdde.exe 2004/06/17 5.2.3790.184
101,376
Network DDE - DDE Communication
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows NT Server 4.0 SP6a/Terminal Server Edition, SP6:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB841533
のInstalled(DWORD値)が「1」であることを確認

・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB841533\Filelist以下のファイル一覧を確認する

・Windows XP SP未適用/SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB841533\Filelist以下のファイル一覧を確認する

・Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB841533\Filelist以下のファイル一覧を確認する

 

予想適用時間

修正プログラム名 50台 100台 250台 500台
WindowsNT4Server-KB841533-x86-JPN.exe
(Windows NT Server 4.0 SP6a)
18分 27分 52分 1時間34分
Windows2000-KB841533-x86-JPN.EXE
(Windows 2000)
19分 27分 53分 1時間36分
WindowsXP-KB841533-x86-jpn.exe
(Windows XP SP未適用/SP1/SP1a)
18分 27分 52分 1時間34分
WindowsServer2003-KB841533-x86-jpn.EXE
(Windows Server 2003)
18分 27分 52分 1時間34分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 

UpdateEXPERT上の表示

・Windows NT Server 4.0 SP6a:
UpdateExpert 5.1:[展開ビュー]−[OS]タブに「名前:NT4SVR-KB841533-x86-JPN.exe」で登録
UpdateExpert 6.1:[展開ビュー]−[OS]タブに「名前:WindowsNT4Server-KB841533-x86-JPN.exe」で登録

・Windows 2000 SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB841533-x86-JPN.EXE」で登録

・Windows XP SP未適用/SP1/SP1a:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB841533-x86-jpn.exe」で登録

・Windows Server 2003:
UpdateExpert 5.1:サポート対象外
UpdateExpert 6.1:[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB841533-x86-jpn.EXE」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。