MS05-024/894320 |
Windowsエクスプローラの「Webの表示」機能の脆弱性により、リモートで任意のコードが実行される危険性 |
(「Web の表示」の脆弱性により、リモートでコードが実行される) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
Windowsエクスプローラの「Webの表示」機能に脆弱性が存在し、任意のコードが実行される危険性がある。Windowsエクスプローラの[ツール]−[フォルダ
オプション]の[全般]タブにある「Webの表示」で「フォルダでWebコンテンツを使う」をオンにしている場合(Windows 2000のデフォルト設定)、細工されたファイルをWindowsエクスプローラ上で選択しただけで、そのファイルのプレビュー・フィールドに仕込まれたコードが実行される。
攻撃は、ログオン・ユーザーのコンテキストで実行されるため、管理者権限でログオンしている場合、コンピュータの制御が完全に奪われる危険もある。この脆弱性の対象はWindows
98/98SE/Me/2000で、Windows XPやWindows Server 2003は影響を受けない(後述のようにWindows 98/98SE/Meに対しては修正プログラムは提供されない)。
すでにMS05-024の脆弱性に対する詳細な情報と実証コードが広く公開されている。メール添付型ワームなどに悪用される危険性が高い上、攻撃を仕掛けることが容易なことから、興味本位で脆弱性を悪用したファイルがWebサイトなどに置かれる危険もある。攻撃にはユーザーによる操作が伴うということで、マイクロソフトは深刻度を上から2番目の「重要」に位置付けているが、リモート・コード実行を可能にする脆弱性なので、Windows
2000の利用者は早期に修正プログラムの適用を開始してほしい。
|
概要
|
「Webの表示」機能とは、ファイル/フォルダの情報やファイルの内容を、Windowsエクスプローラの右側のペインに縮小表示でプレビューする機能である。HTMLファイルやPDFファイルなどは、文書を開く前に縮小表示されるため、ファイル名だけでは内容が分からないファイルも容易に見つけることが可能になる。また「Webの表示」機能を有効にすると、WordやExcelなどのファイルに付けられているタイトルや作成者の情報も表示される。Widnows
2000のWindowsエクスプローラは、デフォルトで「Webの表示」が選択されている。
この作成者の情報を表示する処理に脆弱性が存在する。Wordファイルなどの作成者フィールドにスクリプトが仕込まれていると、Windowsエクスプローラでそのファイルを選択した時点でスクリプトが実行されてしまう。この脆弱性については、すでに2005/04/27日付け配信のHotFix
Weeklyで報告済みである。
・HotFix Weekly 2005/04/27日付け配信(Windowsエクスプローラの「Webの表示」機能の脆弱性により、任意のスクリプトが実行させられる脆弱性)
http://www.hotfix.jp/archives/alert/2005/news05-0427.html#01
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows 98/98SE/Me |
Windows 98/98SE/Me |
Windows 2000 |
Windows 2000 SP3/SP4 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP3 |
○
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP3 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP3 |
○
|
Windows 2000 Advanced Server SP4 |
○
|
■「Webの表示」機能の脆弱性が解消されたことを確認
DA Labでは、公開されている「Webの表示」機能の脆弱性に対する実証コードを実行し、修正プログラムの適用によって脆弱性が解消されていることをWindows
2000 SP3/SP4上で確認した。修正プログラムを適用すると、細工されたファイルを選択してもコードは実行されなくなった。
■修正プログラム適用後の再起動は必須
「マイクロソフト セキュリティ情報の事前通知」では、MS05-024の修正プログラムでは「再起動は必要としない」としていた。しかし修正プログラムの提供時に変更され、「再起動は必須」となった。DA
Labでは、「Webの表示」機能の有効/無効など条件を変更して修正プログラムの適用を行ったが、テストしたすべての場合で再起動が求められた。
■Windows 98/98SE/Meにも脆弱性あり
TechNetセキュリティ情報によれば、Windows 98/98SE/Meにも「Webの表示」機能の脆弱性が存在する。ただしマイクロソフトはこれらを「緊急ではない」と判断しており、修正プログラムの提供は行われない。Windows
98/98SE/Meを利用している場合は、Windowsエクスプローラをクラシック表示に変更(つまり「Webの表示」を無効に)して脆弱性を回避する必要がある。
■MBSA 1.21の結果
MS05-024の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「JP
Title: 「Web の表示」の脆弱性により、リモートでコードが実行される(894320)」が表示される。
|
|
|
脆弱性を検証するには、以下のようにすれば実証コードが作成できる。Wordで適当な文書を開き、[ファイル]−[プロパティ]メニューを選択し、[プロパティ]ダイアログの[ファイルの概要]タブの「作成者」フィールドに以下のようなスクリプトを書く。
a@b' style='background-image:url(javascript:alert("スクリプトの実行")) |
あとはWindowsエクスプローラでこのファイルを選択すればよい。「スクリプトの実行」という警告ダイアログがポップアップした場合は、Word文書に仕込んだコード(この場合はスクリプト)が実行されたことを意味する。
「Webの表示」機能では、作成者フィールドにメール・アドレス(aaa@bbb形式の文字列)が書かれていた場合、自動的に「mailto:」のリンクを付ける処理を行う。これにより、作成者のメール・アドレスをクリックしただけで、あて先にアドレスが差し込まれた状態で、メール・ソフトウェアが自動的に起動する。この処理に脆弱性が存在し、メール・アドレス以降もHTMLとして処理してしまうため、そこに含まれたスクリプトが実行されてしまう。
MS05-024の修正プログラムを適用すると、作成者フィールドが「a@b' style='background-image:url(javascript:alert("スクリプトの実行"))」となっていた場合でも、すべてをメール・アドレスとして認識するようにHTMLの処理が変更される。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUSの表示 |
Windows 2000 SP3/SP4 |
|
Windows 2000 用セキュリティ更新プログラム (KB894320) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows 2000 SP3/SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Windows2000-KB894320-x86-JPN.EXE |
2005/04/29 |
1.0.0.0 |
1,161,720
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\system32\ |
webvw.dll |
2005/04/29 |
5.0.3900.7036 |
1,122,576
|
Shell WebView Content & Control Library |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB894320\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由から直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性の回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■「Webの表示」機能を無効にする
この脆弱性は、「Webの表示」機能を利用しなければ、攻撃コードが含まれたファイルを選択しても、そのファイルに含まれるコードが実行されることはない。設定を変更するには以下の手順で、「Webの表示」を無効にする。
- [マイ コンピュータ]をダブルクリックして開く。
- [ツール]−[フォルダ オプション]メニューを選択し、[フォルダ オプション]ダイアログを開く。
- [フォルダ オプション]ダイアログ−[全般]タブの「Webの表示」を、「フォルダでWebコンテンツを使う」(Windows 2000のデフォルト)から「従来のWindowsフォルダを使う」に変更する。
- [OK]ボタンをクリックして、変更を反映する。
なおこの変更により、Windowsエクスプローラでプレビューは表示されなくなる。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Windows2000-KB894320-x86-JPN.EXE
(Windows 2000 SP3/SP4) |
18分 |
27分 |
52分 |
1時間35分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows 2000 SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB894320-x86-JPN.EXE」で登録
|
|