このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:
2005/05/11日版
 
【登録日】2005/05/11
【更新日】2005/05/11
HFR BBS会議室
 
深刻度
  1(緊急)
2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
あり
対策
早期適用
再起動の必要性
必要
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS05-024(日本)
MS05-024(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS05-024/894320
Windowsエクスプローラの「Webの表示」機能の脆弱性により、リモートで任意のコードが実行される危険性
(「Web の表示」の脆弱性により、リモートでコードが実行される)

緊急対応度:適用作業の早期開始

危険性 脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。
                 
SP待ち
 
早期適用
 
緊急適用

 Windowsエクスプローラの「Webの表示」機能に脆弱性が存在し、任意のコードが実行される危険性がある。Windowsエクスプローラの[ツール]−[フォルダ オプション]の[全般]タブにある「Webの表示」で「フォルダでWebコンテンツを使う」をオンにしている場合(Windows 2000のデフォルト設定)、細工されたファイルをWindowsエクスプローラ上で選択しただけで、そのファイルのプレビュー・フィールドに仕込まれたコードが実行される。

 攻撃は、ログオン・ユーザーのコンテキストで実行されるため、管理者権限でログオンしている場合、コンピュータの制御が完全に奪われる危険もある。この脆弱性の対象はWindows 98/98SE/Me/2000で、Windows XPやWindows Server 2003は影響を受けない(後述のようにWindows 98/98SE/Meに対しては修正プログラムは提供されない)。

 すでにMS05-024の脆弱性に対する詳細な情報と実証コードが広く公開されている。メール添付型ワームなどに悪用される危険性が高い上、攻撃を仕掛けることが容易なことから、興味本位で脆弱性を悪用したファイルがWebサイトなどに置かれる危険もある。攻撃にはユーザーによる操作が伴うということで、マイクロソフトは深刻度を上から2番目の「重要」に位置付けているが、リモート・コード実行を可能にする脆弱性なので、Windows 2000の利用者は早期に修正プログラムの適用を開始してほしい。

 

概要

 「Webの表示」機能とは、ファイル/フォルダの情報やファイルの内容を、Windowsエクスプローラの右側のペインに縮小表示でプレビューする機能である。HTMLファイルやPDFファイルなどは、文書を開く前に縮小表示されるため、ファイル名だけでは内容が分からないファイルも容易に見つけることが可能になる。また「Webの表示」機能を有効にすると、WordやExcelなどのファイルに付けられているタイトルや作成者の情報も表示される。Widnows 2000のWindowsエクスプローラは、デフォルトで「Webの表示」が選択されている。

 この作成者の情報を表示する処理に脆弱性が存在する。Wordファイルなどの作成者フィールドにスクリプトが仕込まれていると、Windowsエクスプローラでそのファイルを選択した時点でスクリプトが実行されてしまう。この脆弱性については、すでに2005/04/27日付け配信のHotFix Weeklyで報告済みである。

・HotFix Weekly 2005/04/27日付け配信(Windowsエクスプローラの「Webの表示」機能の脆弱性により、任意のスクリプトが実行させられる脆弱性)
http://www.hotfix.jp/archives/alert/2005/news05-0427.html#01

 

対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE/Me Windows 98/98SE/Me
Windows 2000 Windows 2000 SP3/SP4
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP3
Windows 2000 Professional SP4
Windows 2000 Server SP3
Windows 2000 Server SP4
Windows 2000 Advanced Server SP3
Windows 2000 Advanced Server SP4

■「Webの表示」機能の脆弱性が解消されたことを確認
 DA Labでは、公開されている「Webの表示」機能の脆弱性に対する実証コードを実行し、修正プログラムの適用によって脆弱性が解消されていることをWindows 2000 SP3/SP4上で確認した。修正プログラムを適用すると、細工されたファイルを選択してもコードは実行されなくなった。

■修正プログラム適用後の再起動は必須
 「マイクロソフト セキュリティ情報の事前通知」では、MS05-024の修正プログラムでは「再起動は必要としない」としていた。しかし修正プログラムの提供時に変更され、「再起動は必須」となった。DA Labでは、「Webの表示」機能の有効/無効など条件を変更して修正プログラムの適用を行ったが、テストしたすべての場合で再起動が求められた。

■Windows 98/98SE/Meにも脆弱性あり
 TechNetセキュリティ情報によれば、Windows 98/98SE/Meにも「Webの表示」機能の脆弱性が存在する。ただしマイクロソフトはこれらを「緊急ではない」と判断しており、修正プログラムの提供は行われない。Windows 98/98SE/Meを利用している場合は、Windowsエクスプローラをクラシック表示に変更(つまり「Webの表示」を無効に)して脆弱性を回避する必要がある。

■MBSA 1.21の結果
 MS05-024の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「JP Title: 「Web の表示」の脆弱性により、リモートでコードが実行される(894320)」が表示される。

 
‥‥‥ 詳細情報 ‥‥‥

 脆弱性を検証するには、以下のようにすれば実証コードが作成できる。Wordで適当な文書を開き、[ファイル]−[プロパティ]メニューを選択し、[プロパティ]ダイアログの[ファイルの概要]タブの「作成者」フィールドに以下のようなスクリプトを書く。

a@b' style='background-image:url(javascript:alert("スクリプトの実行"))

 あとはWindowsエクスプローラでこのファイルを選択すればよい。「スクリプトの実行」という警告ダイアログがポップアップした場合は、Word文書に仕込んだコード(この場合はスクリプト)が実行されたことを意味する。

 「Webの表示」機能では、作成者フィールドにメール・アドレス(aaa@bbb形式の文字列)が書かれていた場合、自動的に「mailto:」のリンクを付ける処理を行う。これにより、作成者のメール・アドレスをクリックしただけで、あて先にアドレスが差し込まれた状態で、メール・ソフトウェアが自動的に起動する。この処理に脆弱性が存在し、メール・アドレス以降もHTMLとして処理してしまうため、そこに含まれたスクリプトが実行されてしまう。

 MS05-024の修正プログラムを適用すると、作成者フィールドが「a@b' style='background-image:url(javascript:alert("スクリプトの実行"))」となっていた場合でも、すべてをメール・アドレスとして認識するようにHTMLの処理が変更される。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター Windows Update/SUSの表示
Windows 2000 SP3/SP4 Windows 2000 用セキュリティ更新プログラム (KB894320)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Windows 2000 SP3/SP4:
ファイル名 日付 バージョン サイズ
Windows2000-KB894320-x86-JPN.EXE 2005/04/29 1.0.0.0
1,161,720
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
webvw.dll 2005/04/29 5.0.3900.7036
1,122,576
Shell WebView Content & Control Library
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB894320\Filelist以下のファイル一覧を確認する

 
‥‥‥ 参考情報 ‥‥‥

 何らかの理由から直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性の回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■「Webの表示」機能を無効にする
 この脆弱性は、「Webの表示」機能を利用しなければ、攻撃コードが含まれたファイルを選択しても、そのファイルに含まれるコードが実行されることはない。設定を変更するには以下の手順で、「Webの表示」を無効にする。

  1. [マイ コンピュータ]をダブルクリックして開く。
  2. [ツール]−[フォルダ オプション]メニューを選択し、[フォルダ オプション]ダイアログを開く。
  3. [フォルダ オプション]ダイアログ−[全般]タブの「Webの表示」を、「フォルダでWebコンテンツを使う」(Windows 2000のデフォルト)から「従来のWindowsフォルダを使う」に変更する。
  4. [OK]ボタンをクリックして、変更を反映する。

 なおこの変更により、Windowsエクスプローラでプレビューは表示されなくなる。

 

予想適用時間

修正プログラム名 50台 100台 250台 500台
Windows2000-KB894320-x86-JPN.EXE
(Windows 2000 SP3/SP4)
18分 27分 52分 1時間35分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 

UpdateEXPERT上の表示

・Windows 2000 SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB894320-x86-JPN.EXE」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。