.
マイクロソフト、緊急レベル1つ、重要レベル2つの合計3つの脆弱性に対処
緊急レベルの問題を悪用されると任意のコードが実行されてしまう恐れがある
(03/07/10)
【18:10更新】
マイクロソフト(株)は10日、Windowsに緊急レベルが1つ、重要レベルが2つの合計で3つの新たなセキュリティ問題があることを明らかにし、それぞれの問題対策用のセキュリティ修正プログラムを公開した。現在“Windows Update”機能を利用して無償でダウンロードできるほか、同社のセキュリティ情報開示サイト“TechNet”からダウンロードすることもできる。
同社はセキュリティ問題の深刻度を上から“緊急”、“重要”、“警告”、“注意”の4段階でレベル分けしており、本日公開された3種類のセキュリティ修正プログラムでは、深刻度が最高の“緊急”レベルの問題が1つ、上から2番目の“重要”レベルの問題が2つ、合計で3つのセキュリティ問題が新たに修正される。もっとも深刻度が高い“緊急”レベルの問題(MS03-023)は、Windowsに搭載されている“HTMLコンバータ”機能が変換リクエストを処理する方法に起因する脆弱性。この問題を悪用する目的で作成されたWebページやHTML形式のメールをユーザーが閲覧すると、バッファオーバーランが発生して任意のコードが実行されてしまう恐れがあるとのこと。Windows 98/Me/NT 4.0/2000/XP/2003を使用しているパソコンに同問題に対応する修正プログラムを適用することで、同セキュリティ問題を修正することができる。ちなみに、Windowsは“HTMLコンバータ”機能により、テキストやデータの構造を保持しながら、HTMLをリッチテキストの形式に変換したり、リッチテキストをHTMLの形式に変換することができるのだという。
また、重要レベルの問題には、サーバーメッセージブロック(SMB)がSMBパケットのバッファサイズを適切に検証しないことに起因する脆弱性と、ユーザー補助ユーティリティがWindowsメッセージを処理する方法に起因する脆弱性の2つがある。前者の問題の対象となるのはWindows 2000のみで、特別に作成されたSMBリクエストパケットを受信したサーバーでバッファオーバーランが発生し、任意のコードが実行されてしまう恐れがあるという。後者の問題の対象となるのはWindows NT 4.0/2000/XPで、これらのWindowsに対話的にログオンした悪意あるユーザーが、ユーザー補助ユーティリティと特別に作成したWindowsメッセージとを組み合わせることで、ユーザー本来の権限よりも高い権限でコードを実行できてしまう可能性があるとのこと。それぞれの問題対策用の修正プログラムを適用すれば、セキュリティ問題は修正される。
□HTML コンバータのバッファ オーバーランにより、コードが実行される (823559) (MS03-023)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-023.asp
□Windows のバッファ オーバーランによりデータが破損する (817606) (MS03-024)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-024.asp
□ユーティリティ マネージャによる Windows メッセージ処理の問題により、権限が昇格する (822679) (MS03-025)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-025.asp
(竹元 克己)
トップページへ