日本のセキュリティチーム (Japan Security Team) : GDI+

2009年10月のワンポイントセキュリティ(リニューアル版)

JSECTEAM — Wed, 14 Oct 2009 04:15:00 GMT

小野寺です。
10月のワンポイントセキュリティ情報を公開しました。

なお、今月より一部内容をリニューアルし、IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx

2009年3月のセキュリティ情報

JSECTEAM — Tue, 10 Mar 2009 23:03:00 GMT

小野寺です

2009年3月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 3 件 (緊急 1 件、重要 2 件)となります。
また、MS08-052の更新プログラムを一部環境向けに再提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-006 (Windows Kernel):
特別な細工が施された画像ファイルの表示によるリモートでコードが実行される可能性または、プログラムの実行により特権の昇格が可能となる可能性があります。
現時点では、脆弱性の詳細は公開されておらず、悪用コードが作成されたとしても安定したコードの提供は難しいと可能性があります。結果、特権の昇格やコードの実行が起こる前に、異常終了等によるサービス拒否状態になる事がおおかもしれません。また、安定したコードが発見された場合の脆弱性としての危険度は高いものとなりますので、不安定なコードで済んでいるうちに、早々に更新を適用するべきです。

MS09-007 (Windows SChannel):
この脆弱性により、クライアント認証を持っていない攻撃者が、クライアント認証の所有者になりすます可能性があります。
サーバー等で、証明書認証を使用している場合に認証を誤魔化される様な場合が最も想定しやいのですが、実際に悪用しようとすると必要条件(悪用のための前提)が多く、実際の悪用は容易ではないと思われます。
しかしながら、必要条件が満たされれば悪用できますので、早めに更新を適用する事をお勧めします。

MS09-008 (DNS/WINS):
大胆に簡略化すると、DNS/WINSサーバーの登録情報を改竄できる、または応答をごまかせる、名前解決時のなりすましの可能性があります。
これにより、本来のURLや、マシン名で接続しているはずにもかかわらず、攻撃者の要したサイトやマシンに誘導される可能性があります。
MS08-037で対策済みのDNSのなりすまし問題と被害結果は同様ですが、今回の対策した脆弱性については攻撃の成功確率はそれほど高くは有りません。必要条件がそれなりにあり、また、悪用のためのコード（プログラム）の安定化させる事は難しいと思われます。
しかし、万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性ですので、早めに更新を適用する事をお勧めします。

セキュリティ情報 (更新):
MS08-052 (GDI+):
MS08-052 は、GDI+ に関する脆弱性に対応していますが、幾つかの環境向けに更新プログラムを再提供しています。
最初に提供した更新プログラを適用後に、サービスパックを適用するこおで、脆弱性に未対応の状態に戻ってしまう場合がある事が分かり、その問題に対処したものを再提供しています。サービスパック適用後に、既存の更新プログラムを適用している様な場合は、再適用の必要はありません。
また、今回対象になったのは、以下のOS向けの更新プログラムです。

Windows XP Service Pack 3 (Service Pack 2の時に更新を適用し、その後 Service Pack 3を適用した場合)
Windows Server 2003 Service Pack 2 (Service Pack 1の時に更新を適用し、その後 Service Pack 2を適用した場合)

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Koobface に対応しています。

2008年9月のセキュリティリリース

JSECTEAM — Tue, 09 Sep 2008 22:25:00 GMT

小野寺です

今月は、事前通知からの変更はなく、予定通り、計 4 件 (緊急 4 件)を公開しました。

セキュリティ情報 (新規):
MS08-052 (GDI+): 再配布可能な画像処理ライブラリである GDI+ (gdiplus.dll) で提供する幾つかの画像処理方法に問題があり対策を施しています。このモジュールが再配布モジュールという性質かつ、これに由来するコードを多くの製品で共有している関係で複数の製品に影響範囲が及んでいます。
まず、GDI+ は、Windows XP 以降は、OSの標準モジュールです。Windows 2000では、アプリケーションと共に配布される追加モジュール扱いです。そのため、Windows 2000環境をアプリケーションで、GDI+ を使用する場合は、アプリケーションのフォルダ (%ProgramFiles% 以下) または、システムフォルダ (%systemroot%\system32) に gdiplus.dll がインストールされます。
Office 製品ですが、Office製品の中核ライブリの一つに MSO.dll がありますが、ここに GDI+ 由来のコードが入っています。 Office 製品は、文書内などで色々な画像処理を行う必要があり、GDI+ そのままではなく、Office 向けの画像処理機構を持っているわけです。
開発製品については、そのほとんどは開発製品じたいは影響を受けません。というのも、開発製品自体は、GDI+ を使っていないためです。しかし、セキュリティ更新プログラムがあるのは、GDI+ を含んだアプリケーションを開発できるように、マージモジュールなどの開発用コンポーネントが製品に付属しているため、それを更新するために更新プログラムを提供しています。
さて、最初に述べた通り、GDI+ は、再配布可能なモジュールですので、3rdパーティ製のアプリケーションでも使用し、アプリケーションと共に配布可能です。しかし、GDI+を使用している = 脆弱性があるというわけではありません。今回対策している各画像処理を行っていなければ、影響を受けることはないでしょう。
影響があるばあでも、基本的は GDI+ を持たない Windows 2000 環境が注意が必要な環境となります。 Windwos 2000環境では、基本的にそのアプリケーション開発元がセキュリティ更新プログラムを提供する必要があります。 Windows XP 以降については、通常のマナーに従ってSide By Side (WinSxS) を使用しているアプリケーションであれば、Windows の更新を適用する事で影響を受けなくなります。

MS08-053 (Media Encoder): Media Encoder をインストールしている環境が影響をうけます。 Media Encoderと一緒にインストールされる ActiveX コントロールが Web 等から不正に呼び出された場合に脆弱性が悪用される可能性があります。

MS08-054 (Media Player): 先月、延期になった更新プログラムです。 Windows Media Player 11 が影響を受けます。といっても通常のオーディオ・ビデオファイルを再生しても問題ありません。Media Server から提供されるサーバーサイド再生リスト (SSPL) で配信されるオーディオファイルを処理する場合に影響を受ける可能性があります。

MS08-055 (Office): Office 製品や OneNote で、onenote:// プロトコルハンドラを処理した場合に影響を受ける可能性があります。

悪意のあるソフトウェアの削除ツール(MSRT):
今月は、Win32/Slenfbotに対応しています。このマルウェアは、インスタントメッセージや USB などのリムーバブルディスクを介して感染します。感染後は、バックドアとして機能し外部からの完全にコントロールされます。

ワンポイントセキュリティ情報:
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、9/10の午後に以下のサイトで公開を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx