このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2007/05/11版
 
【登録日】2007/05/11
【更新日】2007/05/11
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
不要
アンインストール
可能
対象環境
サーバ
クライアント
セキュリティ情報
MS07-028(日本)
MS07-028(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS07-028/931906
CAPICOM ActiveXコントロールの入力処理の脆弱性により、リモートで任意のコードが実行される危険性
(CAPICOM の脆弱性により、リモートでコードが実行される)


対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]

危険性
                 
SP待ち
 
早期適用
 
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 特権の昇格 情報の漏えい サービス拒否 なりすまし
     
       
 
‥‥‥ 概要 ‥‥‥

 データの暗号化などの機能を提供する「CAPICOM(Cryptographic API Component Object Model)」が、入力値の検証を十分に行わない脆弱性が存在する。CAPICOM.Certificates ActiveXコントロール(CAPICOM.DLL)に対して細工されたパラメータを渡すように設定されたWebページを開くだけで、任意のコードが実行される危険性がある。アドウェアやトロイの木馬のインストールに悪用されることが懸念される。

 マイクロソフトによれば、MS07-028の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、この脆弱性は、細工されたWebページを開くだけで攻撃が実行されてしまうため、危険性が非常に高い。CAPICOM.DLLは、デフォルトではWindows OSにインストールされていないものの、暗号化ソフトウェアなどによりCAPICOM.DLLがインストールされている場合もあるので注意が必要だ。CAPICOM.DLLがインストールされている場合は、至急、修正プログラムを適用した方がよい。

 
脆弱性の内容

 MS07-028の脆弱性は、CAPICOM.Certificates ActiveXコントロールが、入力値の検証を十分に行わないことに起因する。CAPICOM.Certificates ActiveXコントロールが、細工されたパラメータを受け取ると、予期しないエラーが発生し、その結果、任意のコードが実行されてしまう。

 
対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
CAPICOM CAPICOM、Platform SDK Redistributable : CAPICOM、BizTalk Server 2004 SP1/SP2、CAPICOM 2.1.0.1以前を含むアプリケーションなど
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4
Windows 2000 Server SP4
Windows 2000 Advanced Server SP4
Windows XP Professional SP2
Windows Server 2003, Enterprise Edition SP1
Windows Server 2003 R2, Standard Edition
Windows Server 2003 Standard Edition SP2
○は問題なし、△は一部に問題あり、×は適用による障害あり

■MBSA 2.0.1の結果
 MS07-028の修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能である。未適用の場合は、「SDK Components のセキュリティ更新プログラム」の「結果の詳細情報」に以下が表示される。

  • Security Update for CAPICOM (KB931906)
 
適用時の注意点

■CAPICOM.DLLはサードパーティ製アプリケーションに含まれて提供されている場合がある
 CAPICOMとは、データの暗号化/復号化やデジタル署名による認証などの機能を提供するCOMコンポーネントのことである。Windows OSにデフォルトではインストールされていないが、再配布可能なモジュールとしてマイクロソフトから提供されているため、暗号化ソフトウェアなどがパッケージに含めてインストールしている可能性もある。例えば、Norton Internet Security 2007では、CAPICOM.DLLを利用しており、インストールと同時にCAPICOM.DLLの登録を行うようになっている。

 CAPICOMがインストールされているかどうかを調べるには、全ドライブでCAPICOM.DLLを検索する。もし見付かったらCAPICOMがインストール済みか、あるいは過去にインストールされた可能性があるので、MS07-028の修正プログラムを適用したほうがよいだろう。

■適用にはWindows Installer 3.1が必要
 Windows 2000 SP4で、MS07-028の修正プログラムを適用するには、事前にWindows Installer 3.1をインストールしておく必要がある。Windows Installer 3.1は、ダウンロード・センターで入手可能なので、事前に適用しておくこと。Windows XP SP2とWindows Server 2003 SP1/R2/SP2は、デフォルトでWindows Installer 3.1がインストールされているので、そのまま適用可能である。

・ダウンロード・センター(Windows Installer 3.1 Redistributable (v2) - 日本語):
http://www.microsoft.com/downloads/details.aspx?
familyid=889482fc-5f56-4a38-b838-de776fd4138c&displaylang=ja

■MS07-028の修正プログラムを適用しても古いCAPICON.DLLは削除されない
 MS07-028の修正プログラムは、通常とは異なり、脆弱性が存在するDLLを置き換えずに、更新されたCAPICOM.DLLの情報をコンピュータに登録し、古い(脆弱性の存在する)CAPICOM.DLLを使用しないように設定することで脆弱性を解消する。そのため、検索を行うとバージョンの異なる複数のCAPICOM.DLLが見付かることがある。DA Lab.で調べた限りでは、登録済みの有効なCAPICOM.DLLのありかは以下のレジストリ・キーに保存されている。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}\InprocServer32

 このキーに格納されているパスのCAPICOM.DLLのファイルバージョンが2.1.0.2以降であれば、脆弱性は解消されている。

 なお新しいCAPICOM.DLLはデフォルトで、%ProgramFiles%\Microsoft CAPICOM 2.1.0.2\Lib\X86\フォルダにインストールされる。

■MS07-028の修正プログラムをアンインストールするとCAPICOMが無効になる
 MS07-028の修正プログラムをアンインストールすると、インストール以前に登録されていた元のCAPICOM.DLLが再登録されず、結果としてCAPICOMが無効化されてしまう。そのため、CAPICOMを利用するようなアプリケーションは正常に動作しなくなる。

 再び古いバージョンのCAPICOM.DLLを利用したい場合は、以下のコマンドラインを実行すればよい。

regsvr32.exe <元のCAPICOM.DLLのパス>\CAPICOM.DLL

 もちろん、元のCAPICOM.DLLが2.1.0.2より古い場合、脆弱性が復活してしまうので、運用には注意しなければならない。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター WU/MU/SUS/WSUSの表示
CAPICOM Security Update for CAPICOM (KB931906)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
CAPICOM:
ファイル名 日付 バージョン サイズ
CAPICOM-KB931906-v2102.exe 2007/04/18 2.1.0.2
383,376
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %ProgramFiles%\Microsoft CAPICOM 2.1.0.2\Lib\X86\
capicom.dll 2007/04/11 2.1.0.2
511,328
CAPICOM Module
  %ProgramFiles%\Microsoft CAPICOM 2.1.0.2\License\
license.mht 2007/02/26
142,534
MHTMLドキュメント
license.rtf 2007/02/26
134,577
RTFファイル
license.txt 2007/02/26
7,401
テキスト・ファイル
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、CAPICOM.DLLのバージョンで確認する。

 
予想適用時間

修正プログラム名 50台 100台 250台 500台
CAPICOM-KB931906-v2102.exe
(CAPICOM)
12分 21分 46分 1時間28分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 
UpdateEXPERT上の表示

・CAPICOM:
[展開ビュー]−[Media]タブに「名前:CAPICOM-KB931906-v2102.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。