[HotFix Report 2008/04/10］ MS08-022

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

　
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert：2008/04/10版

【登録日】2008/04/10

【更新日】2008/04/10

HFR BBS会議室

MS08-022

深刻度

→	1（緊急）
	2（重要）
	3（警告）
	4（注意）

攻撃コードの有無

なし

対策

至急適用

再起動の必要性

必要

アンインストール

可能

対象環境

○	サーバ
○	クライアント

セキュリティ情報

MS08-022（日本）
MS08-022（US）

サポート技術情報

944338

含まれる過去の修正

MS06-023

脆弱性識別番号

CVE-2008-0083

MS08-022／944338

VBScript／JScriptスクリプト・エンジンの脆弱性により、リモートで任意のコードが実行される危険性

（VBScript および JScript スクリプトエンジンの脆弱性により、リモートでコードが実行される）

対応の緊急性：至急適用［攻撃コード未公開］［攻撃事例なし］

危険性

低									●		高
←	SP待ち				早期適用				緊急適用		→

脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃

攻撃手法				脆弱性の影響
リモート攻撃	ウイルス／ワーム	電子メール添付	Webサイトへの誘導	コードの実行	権限の昇格	情報の漏えい	サービス拒否	なりすまし
			○	○

‥‥‥ 概要 ‥‥‥

　WindowsのVBScript／JScriptスクリプト・エンジンに脆弱性が存在し、リモートで任意のコードが実行される危険性がある。細工されたWebページを開くと、任意のコードが実行される危険性がある。アドウェアやトロイの木馬のインストールに悪用されることが懸念される。

　
脆弱性の内容

■VBScriptおよびJScriptのリモートでコードが実行される脆弱性

最大深刻度	CVE番号	脆弱性の公開	実証コード	攻撃事例
緊急	CVE-2008-0083	未公開	未公開	なし

　Webページに埋め込まれたスクリプトをユーザーが読み取りにくくするため、スクリプトを利用してVBScript／JScriptスクリプトをエンコードできる。スクリプトの実行が必要な場合、VBScript／JScriptスクリプト・エンジンはスクリプトをメモリに読み込むために、そのスクリプトをデコードする。このスクリプトをデコードする処理過程にコードが実行される脆弱性が存在する。

　なお現時点では、実証コードや攻撃事例は報告されていない。

　
対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Windows 2000	Windows 2000 SP4＋VBScript 5.1／JScript 5.1、VBScript 5.6／JScript 5.6
Windows XP	Windows XP SP2＋VBScript 5.6／JScript 5.6
Windows Server 2003	Windows Server 2003 SP1／SP2＋VBScript 5.6／JScript 5.6

‥‥‥ DA Lab：HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム	適用テスト結果
Windows 2000 Professional SP4＋VBScript 5.6／JScript 5.6	○
Windows 2000 Server SP4＋VBScript 5.6／JScript 5.6	○
Windows 2000 Advanced Server SP4＋VBScript 5.1／JScript 5.1	○
Windows XP Professional SP2	○
Windows Server 2003 Standard SP1	○
Windows Server 2003 R2 Enterprise	○
Windows Server 2003 R2 Standard SP2	○
Windows Server 2003 Enterprise SP2	○
○は問題なし、△は一部に問題あり、×は適用による障害あり

■MBSA 2.0.1の結果
　MS08-022の修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、OSのバージョンによって以下のいずれかが表示される。

Windows 2000 用セキュリティ更新プログラム (KB944338)
Windows XP 用セキュリティ更新プログラム (KB944338)
Windows Server 2003 用セキュリティ更新プログラム (KB944338)

　
適用時の注意点

■Internet Explorer 7がインストール済みなら修正プログラムの適用は不要
　MS08-022の脆弱性の影響を受けるのは、VBScript 5.1／5.6およびJScript 5.1／5.6とされる。Internet Explorer（IE） 7をインストールすると、VBScript.dll／JScript.dllのバージョンは5.7に上がり、この脆弱性の対象から外れる。すなわち、IE 7がインストール済みの場合、この脆弱性の影響は受けず、修正プログラムを適用する必要はない（実際、適用しようとすると、エラーが発生して適用に失敗する）。

‥‥‥ 修正プログラムのダウンロード先 ‥‥‥

プラットフォーム	ダウンロード・センター	WU／MU／WSUSの表示
Windows 2000 SP4 （Windows 2000 SP4＋VBScript 5.1／JScript 5.1、VBScript 5.6／JScript 5.6）	→ MSへ	Windows 2000 用セキュリティ更新プログラム (KB944338)
Windows XP SP2 （Windows XP SP2＋VBScript 5.6／JScript 5.6）	→ MSへ	Windows XP 用セキュリティ更新プログラム (KB944338)
Windows Server 2003 SP1／SP2 （Windows Server 2003 SP1／SP2＋VBScript 5.6／JScript 5.6）	→ MSへ	Windows Server 2003 用セキュリティ更新プログラム (KB944338)

‥‥‥ 適用されるファイル情報 ‥‥‥

　以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
　　　
Windows 2000 SP4＋VBScript 5.1／JScript 5.1、VBScript 5.6／JScript 5.6：

ファイル名	日付	バージョン	サイズ
Windows2000-KB944338-x86-JPN.EXE	2008/03/03	1.0.0.0	835,440

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%SystemRoot%\system32\
jscript.dll	2008/01/05	5.6.0.8835	458,752	Microsoft JScript
vbscript.dll	2008/01/05	5.6.0.8835	401,408	Microsoft VBScript

Windows XP SP2＋VBScript 5.6／JScript 5.6：

ファイル名	日付	バージョン	サイズ
WindowsXP-KB944338-x86-JPN.exe	2007/12/19	1.0.0.0	829,992

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ（SP2GDR／ SP２QFE）	%SystemRoot%\system32\
jscript.dll	2007/12/18	5.6.0.8835	450,560	Microsoft JScript
vbscript.dll	2007/12/18	5.6.0.8835	417,792	Microsoft VBScript

　
Windows Server 2003 SP1／SP2＋VBScript 5.6／JScript 5.6：

ファイル名	日付	バージョン	サイズ
WindowsServer2003-KB944338-x86-JPN.exe	2007/12/１4	1.0.0.0	1,084,464

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ（SP1GDR／ SP1QFE／ SP2GDR／ SP2QFE）	%SystemRoot%\system32\
jscript.dll	2007/12/14	5.6.0.8835	458,752	Microsoft JScript
vbscript.dll	2007/12/14	5.6.0.8835	401,408	Microsoft VBScript

‥‥‥ 確認方法 ‥‥‥

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4＋VBScript 5.1／JScript 5.1、VBScript 5.6／JScript 5.6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB944338\Filelist以下のファイル一覧を確認する

・Windows XP SP2＋VBScript 5.6／JScript 5.6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB944338\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP1／SP2＋VBScript 5.6／JScript 5.6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB944338\Filelist以下のファイル一覧を確認する

　
予想適用時間

修正プログラム名	50台	100台	250台	500台
Windows2000-KB944338-x86-JPN.EXE （Windows 2000 SP4）	18分	27分	52分	1時間34分
WindowsXP-KB944338-x86-JPN.exe （Windows XP SP2）	18分	27分	52分	1時間34分
WindowsServer2003-KB944338-x86-JPN.exe （Windows Sever 2003 SP1／SP2）	18分	27分	52分	1時間35分

1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。

　
UpdateEXPERT上の表示

・Windows 2000 SP4＋VBScript 5.1／JScript 5.1、VBScript 5.6／JScript 5.6：
［展開ビュー］－［OS］タブに「名前：Windows2000-KB944338-x86-JPN.EXE」で登録

・Windows XP SP2＋VBScript 5.6／JScript 5.6：
［展開ビュー］－［OS］タブに「名前：WindowsXP-KB944338-x86-JPN.exe」で登録

・Windows Server 2003 SP1／SP2＋VBScript 5.6／JScript 5.6：
［展開ビュー］－［OS］タブに「名前：WindowsServer2003-KB944338-x86-JPN.exe」で登録

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。