このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:
2006
/06/15版
 
【登録日】2006/06/14
【更新日】2006/06/15
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
必要
アンインストール
可能
対象環境
サーバ
クライアント
セキュリティ情報
MS06-022(日本)
MS06-022(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS06-022/918439
ART画像処理の未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性
(ART の画像表示の脆弱性により、リモートでコードが実行される)


対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]

危険性
                 
SP待ち
 
早期適用
 
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 権限の昇格 情報の漏えい サービス拒否 なりすまし
       
 
‥‥‥ 概要 ‥‥‥

 ART形式の画像を処理する方法に脆弱性が存在し、リモートで任意のコードが実行される危険性がある。細工されたART形式の画像を含むHTML形式の電子メールやWebページを開くと、攻撃が実行される。最悪の場合、コンピュータの制御が完全に奪われる可能性がある。

 マイクロソフトによれば、MS06-022の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかしこの脆弱性は、アドウェアやスパイウェアのインストール、電子メール添付型ウイルスに悪用される危険性が高い。また画像掲示板などを悪用した攻撃が実行されることも懸念される。

 Windows XPとWindows Server 2003では、ART形式をサポートするライブラリが標準で含まれていることから攻撃を受ける危険性がある。至急、修正プログラムを適用した方がよい。

 
脆弱性の内容

 ART形式は、インターネット・サービス・プロバイダの「America Online(AOL)」が提供しているクライアント・ソフトウェアで利用されている独自の圧縮画像フォーマットである。AOLを利用している場合、初期設定で「圧縮された画像」を表示するように設定されており、画像はART形式に変換される。このART形式の画像を表示する処理に未チェック・バッファの脆弱性が存在する。細工されたART形式の画像を表示すると、脆弱性が悪用され、画像に含まれるコードが実行される。

 Windows XPとWindows Server 2003では、ART形式をサポートするライブラリが標準で含まれており、Internet Explorer(IE)でもART形式の画像が表示可能となっている。一方、Windows 2000はART形式の画像をサポートしておらず、Microsoftが提供している「AOL Image Support Update」をインストールした場合にのみART形式の画像が表示可能になる。そのため、Windows XPとWindows Server 2003はデフォルトで脆弱性の影響を受けるが、Windows 2000はAOL Image Support Updateがインストールされている場合のみ脆弱性の対象となる。

 
対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Windows 98/98SE/Me Windows 98/98SE/Me+IE 6 SP1
Windows 2000 Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4/IE 6 SP1
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4+AOL Image Support Update+IE 5.01 SP4
Windows 2000 Professional SP4+AOL Image Support Update+IE 6 SP1
Windows 2000 Server SP4+AOL Image Support Update+IE 5.01 SP4
Windows 2000 Advanced Server SP4+AOL Image Support Update+IE 6 SP1
Windows XP Professional SP1
Windows XP Professional SP1a
Windows XP Professional SP2
Windows Server 2003, Standard Edition SP未適用
Windows Server 2003, Enterprise Edition SP未適用
Windows Server 2003 R2, Enterprise Edition

■MBSA 2.0の結果
 MS06-022の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に以下のいずれかが表示される。

  • Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB918439)
  • Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB918439)
  • Windows XP 用セキュリティ更新プログラム (KB918439)
  • Windows Server 2003 用セキュリティ更新プログラム (KB918439)
 
適用時の注意点

■Windows 2000はAOL Image Support Updateがインストールされている場合のみ脆弱性の影響を受ける
 Windows 2000はデフォルトでART形式の画像に対応しておらず、脆弱性の影響を受けない。しかしAOL Image Support Updateをインストールしている場合、ART形式の画像に対応し、脆弱性の影響を受けることになる。

 MS06-022のWindows 2000向け修正プログラムは、IEのバージョンによって適用するパッケージが異なるので注意が必要だ。Microsoft Updateの表示も、「Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム」または「Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム」とIE向けの修正プログラムとなっているので、修正プログラムを選択する際には見落とさないように注意した方がよい。

■AOL Image Support Updateのインストールを確認する方法
 Windows 2000にAOL Image Support Updateをインストールすると、以下のレジストリ・キーが作成される。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{47f67d00-9e55-11d1-baef-00c04fc2d130}

 このキーにある値Installedのデータが1の場合、AOL Image Support Updateはインストール済みと判断できる。

 ただ、より確実にこの脆弱性を解消したいなら、%SystemRoot%\system32フォルダのjgdw400.dllとjgpl400.dllというファイルの有無を確認した方がよいだろう。MS06-022の修正プログラムがこれらのファイルを更新するからだ。もし、これらのファイルが存在していたら、MS06-022の修正プログラムを適用すればよい。

■MS06-022はMS06-021と併せて適用することが推奨されている
 MS06-021の修正プログラムを適用すると、IEではART形式の画像が表示されなくなる。これは、ART形式の画像表示による脆弱性の影響を、IEで排除するために仕様が修正されたことによる。MS06-022の脆弱性を解消するには、MS06-021とMS06-022を併せて適用することが推奨されている。

■Windows 98/98SE/Me+IE 6 SP1向け修正プログラムはWindows Updateのみで提供
 Windows 98/98SE/Meに対するMS06-022の脆弱性は「緊急」に位置付けられており、修正プログラムが提供されている。ただしWindows 98/98SE/Me+Internet Explorer 6 SP1向け修正プログラムは、Windows Updateでのみで提供されており、ダウンロード・センターからは入手できない。企業内で展開するような場合は、Windows Updateカタログを利用して、修正プログラムを入手する必要がある。

■Windows Me+IE 5.5 SP2に対する修正プログラムの提供は終了
 Windows MeのIE 5.5 SP2に対するサポートは、2005年12月31日で終了している。そのため、IE 5.5 SP2向けのMS06-022の修正プログラムは提供されない。Windows Me+IE 5.5 SP2を利用している場合は、IE 6 SP1へアップグレードした後、MS06-022の修正プログラムを適用する必要がある。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター WU/MU/SUS/WSUSの表示
Windows 98/98SE/Me+IE 6 SP1
Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB918439)
Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4 Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB918439)
Windows 2000 SP4+AOL Image Support Update+IE 6 SP1、Windows XP SP1/SP1a Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB918439)
Windows XP SP2 Windows XP 用セキュリティ更新プログラム (KB918439)
Windows Server 2003 SP未適用/SP1 Windows Server 2003 用セキュリティ更新プログラム (KB918439)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Windows 98/98SE/Me+IE 6 SP1:
ファイル名 日付 バージョン サイズ
IE6.0sp1-KB918439-Windows-98-ME-x86-JPN.exe 2006/05/31 6.0.2800.1168
178,000
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system\
JGDW400.DLL 2006/05/26 106.0.0.0
163,840
JG ART DLL
JGPL400.DLL 2006/04/06 54.0.0.0
27,648
JG ART Player DLL
 
Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4:
ファイル名 日付 バージョン サイズ
IE5.01sp4-KB918439-Windows2000sp4-x86-JPN.exe 2006/05/31 6.2.29.0
571,720
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
jgdw400.dll 2006/05/26 106.0.0.0
163,840
JG ART DLL
jgpl400.dll 2006/04/06 54.0.0.0
27,648
JG ART Player DLL
 
Windows 2000 SP4+AOL Image Support Update+IE 6 SP1、Windows XP SP1/SP1a:
ファイル名 日付 バージョン サイズ
IE6.0sp1-KB918439-Windows-2000-XP-x86-JPN.exe 2006/05/31 6.2.29.0
571,728
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
jgdw400.dll 2006/05/26 106.0.0.0
163,840
JG ART DLL
jgpl400.dll 2006/04/06 54.0.0.0
27,648
JG ART Player DLL
 
Windows XP SP2:
ファイル名 日付 バージョン サイズ
WindowsXP-KB918439-x86-JPN.exe 2006/06/02 1.0.0.0
569,144
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(SP2GDR/
SP2QFE)
%SystemRoot%\system32\
jgdw400.dll 2006/06/02 106.0.0.0
163,840
JG ART DLL
jgpl400.dll 2006/06/02 54.0.0.0
27,648
JG ART Player DLL
 
Windows Server 2003 SP未適用/SP1:
ファイル名 日付 バージョン サイズ
WindowsServer2003-KB918439-x86-JPN.exe 2006/06/01 1.0.0.0
568,632
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(RTMGDR/
RTMQFE/
SP1GDR/
SP1QFE)
%SystemRoot%\system32\
jgdw400.dll 2006/06/01 106.0.0.0
163,840
JG ART DLL
jgpl400.dll 2006/06/01 54.0.0.0
27,648
JG ART Player DLL
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB918439-IE501SP4-20060530.181133\Filelist以下のファイル一覧を確認する

Windows 2000 SP4+AOL Image Support Update+IE 6 SP1、Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB918439-IE6SP1-20060530.145346\Filelist以下のファイル一覧を確認する

Windows XP SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB918439\Filelist以下のファイル一覧を確認する

Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB918439\Filelist以下のファイル一覧を確認する

 
予想適用時間

修正プログラム名 50台 100台 250台 500台
IE5.01sp4-KB918439-Windows2000sp4-x86-JPN.exe
(Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4)
18分 27分 52分 1時間34分
IE6.0sp1-KB918439-Windows-2000-XP-x86-JPN.exe
(Windows 2000 SP4+AOL Image Support Update+IE 6 SP1、Windows XP SP1/SP1a)
18分 27分 52分 1時間34分
WindowsXP-KB918439-x86-JPN.exe
(Windows XP SP2)
18分 27分 52分 1時間34分
WindowsServer2003-KB918439-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1)
18分 27分 52分 1時間34分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 
UpdateEXPERT上の表示

・Windows 2000 SP4+AOL Image Support Update+IE 5.01 SP4:
[展開ビュー]−[IE]タブに「名前:IE5.01sp4-KB918439-Windows2000sp4-x86-JPN.exe」で登録

Windows 2000 SP4+AOL Image Support Update+IE 6 SP1、Windows XP SP1/SP1a:
[展開ビュー]−[IE]タブに「名前:IE6.0sp1-KB918439-Windows-2000-XP-x86-JPN.exe」で登録

Windows XP SP2:
[展開ビュー]−[IE]タブに「名前:WindowsXP-KB918439-x86-JPN.exe」で登録

Windows Server 2003 SP未適用/SP1:
[展開ビュー]−[IE]タブに「名前:WindowsServer2003-KB918439-x86-JPN.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。