このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:
2006
/08/11版
 
【登録日】2006/08/10
【更新日】2006/08/11
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
不要(必要な場合あり)
アンインストール
可能
対象環境
サーバ
クライアント
セキュリティ情報
MS06-044(日本)
MS06-044(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS06-044/917008
Microsoft管理コンソールのクロスサイト・スクリプティングの脆弱性により、リモートで任意のコードが実行される危険性
(Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される)


対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]

危険性
                 
SP待ち
 
早期適用
 
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 権限の昇格 情報の漏えい サービス拒否 なりすまし
 
       
 
‥‥‥ 概要 ‥‥‥

 Microsoft管理コンソール(MMC)にクロスサイト・スクリプティング(→ キーワード)の脆弱性が存在し、細工されたWebページを開くなどすると、任意のコードが実行される危険性がある。アドウェアやスパイウェアのインストールなどに悪用されることが懸念される脆弱性である。

 デフォルトの設定で、IE 5.01はインターネット・ゾーンを含むすべてのWebサイトのアクセスにおいて、IE 6 SP1はイントラネット・ゾーンのWebサイトのアクセスにおいて、それぞれ攻撃を受ける可能性がある。IE 6 SP1は、デフォルトでインターネット・ゾーンのURLからローカル・ファイルのアクセスをブロックする設定となっているため、設定を変更していない限りインターネットから直接攻撃を受けることはない。しかしウイルスやワームなどに悪用された場合、感染した社内のコンピュータから攻撃が仕掛けられる可能性もあるので、IE 6 SP1を利用している場合でも至急、修正プログラムを適用した方がよい。

 マイクロソフトによれば、MS06-044の脆弱性は非公開で報告されたとしており、現時点で攻撃例は確認されていないという。

キーワード
クロスサイト・スクリプティング (cross-site scripting)
 本来は実行が許可されるべきでない外部Webサイトなどのスクリプト・プログラムが実行されてしまう脆弱性、またはそうした脆弱性を悪用した攻撃。

・セキュリティ用語 クロスサイト・スクリプティング(cross-site scripting):
http://www.hotfix.jp/archives/word/2003/word03-04.html

 
脆弱性の内容

 MMCは、ユーザー対話型の管理ツール・プラトフォームである。スナップインと呼ばれる管理ツールを読み込むことで、Windowsシステムのハードウェア、ソフトウェア、ネットワーク・コンポーネントなど、さまざまな管理作業を共通のインターフェイスで行えるようにする。

 このMMCのライブラリに組み込まれたHTMLのリソース・ファイルが、Internet Explorer(IE)を介してインターネットもしくはイントラネットから直接参照可能となっている。その結果、Webページを開くなどするだけで、細工したスクリプトなどがMMCで実行させられる危険性がある。

 
対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4
Windows 2000 Server SP4
Windows 2000 Advanced Server SP4

■MBSA 2.0の結果
 MS06-044の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。

  • Windows 2000 用セキュリティ更新プログラム (KB917008)
 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター WU/MU/SUS/WSUSの表示
Windows 2000 SP4 Windows 2000 用セキュリティ更新プログラム (KB917008)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Windows 2000 SP4:
ファイル名 日付 バージョン サイズ
Windows2000-KB917008-x86-JPN.EXE 2006/07/25 1.0.0.0
962,024
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
mmc.exe 2006/07/24 5.0.2195.7102
613,648
Microsoft Management Console
mmcndmgr.dll 2006/07/24 5.0.2195.7102
840,976
MMC Node Manager DLL
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB917008\Filelist以下のファイル一覧を確認する

 
予想適用時間

修正プログラム名 50台 100台 250台 500台
Windows2000-KB917008-x86-JPN.EXE
(Windows 2000 SP4)
12分 21分 46分 1時間29分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 
UpdateEXPERT上の表示

・Windows 2000 SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB917008-x86-JPN.EXE」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。