MS06-055/925486 |
Vector Markup Languageの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性 |
(Vector Markup Language の脆弱性により、リモートでコードが実行される) |
対応の緊急性:至急適用 [攻撃コード公開済み][攻撃事例あり]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
○
|
○
|
○
|
|
|
○
|
|
|
|
|
|
Windows OSで標準のVector Markup Language(VML)描画ライブラリに未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。VMLは、Web上で線や円といったベクタ・グラフィックスを描画可能にする、XMLベースの言語である。細工されたWebページやHTML形式の電子メールを開くだけで、攻撃が実行されてしまうので、非常に危険性が高い。
すでに攻撃例が増えているという報告もある。報告によれば、グリーティング・カードの送信に偽装した電子メールにより、ユーザーにWebページを開かせることで、キーロガー(コンピュータのキー操作を記録し、クレジット・カード番号やパスワードなどを窃取するプログラム)などの悪意のあるソフトウェアをインストールするという攻撃も確認されているという。また、この脆弱性を利用して、特定のURLから実行ファイルをダウンロードして実行するWebページ(HTML)を作成する実証コードが公開されている。この実証コードを悪用した攻撃も懸念される。至急、修正プログラムを適用した方がよい。
|
脆弱性の内容
|
VMLの描画ライブラリ「vgx.dll」に未チェック・バッファの脆弱性が存在する。Webページ上でVMLによる、rect(長方形)タグに対して非常に長いfill(塗りつぶし)パターンが設定されると、バッファ・オーバーフローが起こり、任意のコードが実行されてしまう。
この脆弱性は、Webページを開くだけで、ユーザーの操作なしに悪用されてしまうので注意が必要だ。またIE以外のVMLを利用するアプリケーションでも、この脆弱性が悪用される危険性がある。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows 2000 |
Windows 2000 SP4+Internet Explorer 5.01 SP4/Internet Explorer 6 SP1 |
Windows XP |
Windows XP SP1/SP1a、Windows XP SP2+Internet Explorer 6 |
Windows Server 2003 |
Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+IE 5.01 SP4 |
○
|
Windows 2000 Professional SP4+IE 6 SP1 |
○
|
Windows 2000 Server SP4+IE 5.01 SP4 |
○
|
Windows 2000 Server SP4+IE 6 SP1 |
○
|
Windows 2000 Advanced Server SP4+IE 5.01 SP4 |
○
|
Windows 2000 Advanced Server SP4+IE 6 SP1 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
Windows Server 2003 R2, Standard Edition |
○
|
Windows Server 2003 R2, Enterprise Edition |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0の結果
MS06-055の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。
- Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB925486)
- Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB925486)
- Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB925486)
- Windows XP 用セキュリティ更新プログラム (KB925486)
- Windows Server 2003 用セキュリティ更新プログラム (KB925486)
|
適用時の注意点
|
■MS06-055の脆弱性の解消を実証コードで確認
DA Labでは、Bugtraqにnop氏(XSec)が公開した実証コード(任意のコードを実行する細工を仕込んだWebページを作成するもの)で、脆弱性の存在ならびに解消を調査した。その結果、Windows
2000+IE 6 SP1とWindows XP SP1+IE 6 SP1、Windows XP SP2の各環境で、任意のコードの実行には失敗したものの、脆弱性が存在することを確認した。また修正プログラムの適用によって、脆弱性が解消し、正常にVMLによる描画が行わるようになったことを確認した(fillの長いパターン部分は無視されるようだ)。
・Bugtraq(vml.c - Internet Explorer VML Buffer Overflow Download Exec Exploit):
http://www.securityfocus.com/archive/1/archive/1/446505/100/0/threaded
■Windows 2000ではInternet Explorerのバージョンによって適用する修正プログラムが異なる
MS06-055のWindows 2000 SP4向け修正プログラムは、インストールされているIEのバージョン(IE 5.01 SP4またはIE 6 SP1)によって、適用すべき修正プログラムのインストール・パッケージが異なっている。異なるIE向けの修正プログラムを適用しようとすると、セットアップ・エラーとなるので注意が必要だ。手動で適用する場合は、事前にインストールされているIEのバージョンを確認した上で実行するとよい。インストール・パッケージはそのファイル名(IE5.01sp4…….exeとIE6.0sp1…….exe)で区別できる。
■WSUSでのWindows 2000 SP4+IE 6 SP1向けとWindows XP SP1/SP1a+IE 6 SP1向けのタイトルは同じ
WSUS 2.0では、Windows 2000 SP4+IE 6 SP1向けとWindows XP SP1/SP1a+IE 6 SP1向けが同じ「Internet
Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB925486)」というタイトルで登録されている。
しかし、修正プログラム自体は異なるもので、Windows 2000 SP4+IE 6 SP1向けの適用を承認しても、Windows XP SP1/SP1a+IE
6 SP1に対して適用は行われない(逆も同様)。また、Windows XP SP2向けは、「Windows XP 用セキュリティ更新プログラム (KB925486)」となっており、Windows
XP SP1/SP1a/SP2をカバーするようなタイトルとなっている。非常にまぎらわしいので、見落としや承認忘れが生じやすいと思われる。[詳細]タブで、どのプラットフォーム向けの修正プログラムなのか確認して、承認を行った方がよい。
■脆弱性の回避策をすでに実施している際の注意
TechNetセキュリティ情報MS06-055に記されている回避策のうち、vgx.dllのアクセス制御リスト(ACL)の制限を強める、という策が実施済みの場合、MS06-055の修正プログラムを適用する前にこのACLを戻しておいた方がよい。制限したままだとMS06-055の修正プログラムの適用に失敗する可能性があるためだ。
またvgx.dllの登録を解除する(手順は後述)、という策が実施済みの場合は、MS06-055の修正プログラムを適用した後にvgx.dllを再登録することを忘れないようにしたい。そのままだと、VMLのコンテンツが再生できない。なお、DA
Labで試した限りでは、MS06-055の修正プログラムの適用前にvgx.dllの登録が解除されていても、適用自体は成功した。
■Internet Explorer 7には適用不可
Windows XP SP2およびWindows Server 2003 SP1/R2にInternet Explorer 7(現時点で最新はRC1)をインストールした場合、MS06-055の修正プログラムは適用できない(セットアップでエラーが発生する)。これらのOSでMS06-055の修正プログラムの適用に失敗した場合は、Internet
Explorer 7がインストールされていないか確認しよう。なおMS06-055で説明されている脆弱性がInternet Explorer 7に存在するか否か、マイクロソフトは明らかにしていない。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
Windows 2000 SP4+IE 5.01 SP4 |
|
Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB925486) |
Windows 2000 SP4+IE 6 SP1 |
|
Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB925486) |
Windows XP SP1/SP1a |
|
Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB925486) |
Windows XP SP2+IE 6 |
|
Windows XP 用セキュリティ更新プログラム (KB925486) |
Windows Server 2003 SP未適用/SP1/R2+IE 6 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB925486) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows 2000 SP4+Internet Explorer 5.01 SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
IE5.01sp4-KB925486-Windows2000sp4-x86-JPN.exe |
2006/09/19 |
6.2.29.0 |
1,282,888
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
5.0.3845.1800 |
1,757,256
|
Microsoft Vector Graphics Rendering(VML) |
Windows 2000 SP4+Internet Explorer 6 SP1:
ファイル名 |
日付 |
バージョン |
サイズ |
IE6.0sp1-KB925486-Windows2000-x86-JPN.exe |
2006/09/19 |
6.2.29.0 |
1,492,304
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
6.0.2800.1580 |
2,286,080
|
Microsoft Vector Graphics Rendering(VML) |
Windows XP SP1/SP1a:
ファイル名 |
日付 |
バージョン |
サイズ |
IE6.0sp1-KB925486-WindowsXP-x86-JPN.exe |
2006/09/20 |
6.2.29.0 |
1,305,912
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
|
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
6.0.2800.1580 |
851,456
|
Microsoft Vector Graphics Rendering(VML) |
Windows XP SP2+Internet Explorer 6:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB925486-x86-JPN.exe |
2006/09/19 |
1.0.0.0 |
804,664
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(SP2GDR/
SP2QFE )
|
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
6.0.2900.2997 |
851,968
|
Microsoft Vector Graphics Rendering(VML) |
Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB925486-x86-JPN.exe |
2006/09/19 |
1.0.0.0 |
916,280
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR/
RTMQFE )
|
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
6.0.3790.593 |
813,056
|
Microsoft Vector Graphics Rendering(VML) |
展開フォルダ
(SP1GDR/
SP1QFE)
|
%ProgramFiles%\Common Files\Microsoft Shared\VGX\ |
vgx.dll |
2006/09/18 |
6.0.3790.2794 |
852,992
|
Microsoft Vector Graphics Rendering(VML) |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows 2000 SP4+Internet Explorer 5.01 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB925486-IE501SP4-20060918.174951\Filelist以下のファイル一覧を確認する
・Windows 2000 SP4+Internet Explorer 6 SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB925486-IE6SP1-20060918.120000\Filelist以下のファイル一覧を確認する
・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB925486-IE6SP1-20060918.120000\Filelist以下のファイル一覧を確認する
・Windows XP SP2+Internet Explorer 6:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB925486\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB925486\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■vgx.dllの登録を解除する
脆弱性があるvgx.dllの登録を解除し、vgx.dllが呼び出されないようにすることで攻撃を回避可能だ。vgx.dllは、以下の操作で登録を解除できる
- [スタート]−[ファイル名を指定して実行]メニューを選択する。
- [ファイル名を指定して実行]ダイアログの「名前」に以下のコマンドを入力して[OK]ボタンをクリックする。
regsvr32 -u "%ProgramFiles%\Common Files\Microsoft
Shared\VGX\vgx.dll" |
- 登録が解除された旨(DllUnregisterServer in ……)のダイアログが表示されるので、[OK]ボタンをクリックする。
以上で、Vgx.dllは登録が解除され、利用できなくなる。そのため、VMLを利用したアプリケーションで、描画が行われなくなるので注意が必要だ。再び登録を行うには、以下のコマンドを実行すればよい。
regsvr32 "%ProgramFiles%\Common Files\Microsoft
Shared\VGX\vgx.dll" |
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
IE5.01sp4-KB925486-Windows2000sp4-x86-JPN.exe
(Windows 2000+IE 5.01 SP4) |
13分 |
21分 |
47分 |
1時間29分 |
IE6.0sp1-KB925486-Windows2000-x86-JPN.exe
(Windows 2000+IE 6 SP1) |
13分 |
21分 |
47分 |
1時間29分 |
IE6.0sp1-KB925486-WindowsXP-x86-JPN.exe
(Windows XP SP1/SP1a) |
12分 |
21分 |
46分 |
1時間28分 |
WindowsXP-KB925486-x86-JPN.exe
(Windows XP SP2+Internet Explorer 6) |
12分 |
21分 |
46分 |
1時間28分 |
WindowsServer2003-KB925486-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6) |
12分 |
21分 |
46分 |
1時間29分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows 2000 SP4+Internet Explorer 5.01 SP4:
[展開ビュー]−[IE]タブに「名前:IE5.01sp4-KB925486-Windows2000sp4-x86-JPN.exe」で登録
・Windows 2000 SP4+Internet Explorer 6 SP1:
[展開ビュー]−[IE]タブに「名前:IE6.0sp1-KB925486-Windows2000-x86-JPN.exe」で登録
・Windows XP SP1/SP1a:
[展開ビュー]−[IE]タブに「名前:IE6.0sp1-KB925486-WindowsXP-x86-JPN.exe」で登録
・Windows XP SP2+Internet Explorer 6:
[展開ビュー]−[IE]タブに「名前:WindowsXP-KB925486-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用/SP1/R2+Internet Explorer 6:
[展開ビュー]−[IE]タブに「名前:WindowsServer2003-KB925486-x86-JPN.exe」で登録
|
|