本頁作成日: 2005年12月31日
最終更新日: 2006年1月6日

the Incidents 10



 2005.12.31
 ■ Windows に深刻な脆弱性(Graphics Rendering Engine の脆弱性) ■

概要:
  Windows の最新 OS においても免れない脆弱性(Graphics Rendering Engine の脆弱性)が、
  SANS や Secunia などで公表され、現在、Microsoft 社にて調査が開始されています
  (本件の同社アドバイザリ: (912840)、2005年11月公表の (896424) とは別物)。



詳細:
  Windows に搭載されている Graphics Rendering Engine が Windows Metafile を処理する時に
  問題があり、第三者に任意のコードを実行されてしまう可能性があります。

  リンク先は当サイト外です。 Secunia/ Advisory/
   SA18255
   http://secunia.com/advisories/18255/

  リンク先は当サイト外です。 SANS/ Handler's Diary/
   Windows WMF 0-day exploit in the wild
   http://isc.sans.org/diary.php?storyid=972


  これは例えば、Windows Metafile の拡張子(通常は“.wmf”)をリネームされ、“.jpg”や“.gif”
  などで Web 上にばら撒かれると、ユーザは『安全そうなURLだ』と何の気なしにアクセスしがち
  ですが、 Internet Explorer などは、“拡張子”ではなく“内容”でページを開こうとするので、
  結果、まんまと、第三者にマシンを乗っ取られる可能性があります
  (その場合、ダウンロードしたファイルの Explorer 上でのサムネイル表示 も NG です)。
  Internet Explorer 以外のブラウザでも、%systemroot%\system32\shimgvw.dll  および、
  %systemroot%\system32\gdi32.dll に依存するものは、同様にこの脆弱性の影響を受ける
  ことになると思われ、注意が必要です。 (2006.01.03 関係する Dynamic Link Library: gdi32.dll の追加)

  ベンダーである Microsoft 社も、この脆弱性を悪用する詳細な検証コード(Exploit)が一般に
  公開されたことを確認しており、これを悪用するウィルスもすでに発見されています。

  リンク先は当サイト外です。 マイクロソフト セキュリティ アドバイザリ (912840)
   Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
   http://www.microsoft.com/japan/technet/security/advisory/912840.mspx

   同アドバイザリ/ 推奨するアクション
   Windows XP Service Pack 1、Windows XP Service Pack 2、
   Windows Server 2003 および Windows Server 2003 Service Pack 1 の
   Windows 画像と Fax ビューア (Shimgvw.dll) を登録抹消する
   http://www.microsoft.com/japan/technet/security/advisory/912840.mspx#s10l1-E2FAC

   (このアクションの有用性は大だが、これを行っても、何かのアプリケーションを
    インストールしたり更新したりすることで、復活の恐れあり。過信は禁物) (2006.01.03 追記)



  リンク先は当サイト外です。 F-Secure/ Virus Description Database
   PFV-Exploit
   http://www.f-secure.com/v-descs/pfv-exploit.shtml



 
    影響を受けるOS(Microsoft 社公表)    

        Microsoft Windows 2000 Service Pack 4
        Microsoft Windows XP Service Pack 1
        Microsoft Windows XP Service Pack 2
        Microsoft Windows XP Professional x64 Edition
        Microsoft Windows Server 2003
        Microsoft Windows Server 2003 for Itanium-based Systems
        Microsoft Windows Server 2003 Service Pack 1
        Microsoft Windows Server 2003 with SP1 for Itanium-based Systems    
        Microsoft Windows Server 2003 x64 Edition
        Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、
        Microsoft Windows Millennium Edition (ME)





“非”公式パッチについて: (2006.01.03 追記)
  フィンランド F-Secure 社は、2005年12月31日の同社 Weblog にて、
  今回の脆弱性を一時的に補強する方法(temporary fix)として、
  Ilfak Guilfanov 氏のセキュリティ・パッチについて触れています。
  同社は氏のセキュリティ・パッチを検証し、同氏が Windows
  オリジナルベンダーである Microsoft 社の関係者ではない
  (=非公式パッチとなる)、通常は非公式パッチの紹介はしない、
  と前置きした上で、同氏が IDA の主な著者にて信頼のおける人物、
  更には、世界中における最良な low-level Windows experts の中の1人
  であるとして、同氏の Weblog を紹介しています。

  このパッチは Windows2000 と XP(SP1 と SP2)にて動作、
  Ilfak 氏は、Microsoft 社からの公式パッチがリリースされたら、
  すぐに非公式パッチをアンインストールし、公式パッチを使用する
  よう推奨しています。

  リンク先は当サイト外です。 F-Secure/ Weblog : News from the Lab
   Ilfak to the rescue!
   http://www.f-secure.com/weblog/archives/archive-122005.html#00000756


  また、SANSは、Handler's Diary にて今回の脆弱性の FAQ を設定、
  脆弱性の問題点の重要性と上述のパッチの有用性を強調し、
  さらに、自サイトの中で同パッチの再配布も行っています。
  (というか、Microsoft 社が早く公式パッチ出すべき...

  リンク先は当サイト外です。 SANS/ Handler's Diary/
   WMF FAQ (NEW)
   http://isc.sans.org/diary.php?storyid=994



公式パッチについて: (2006.01.04 追記)
  Microsoft 社は、この脆弱性の修正プログラムの最新版の開発を終え、
  現在、品質およびアプリケーション互換性を保証するためにテストしている模様。
  同社は、月例のセキュリティ公報の一部として、米国時間、2006年1月10日(火)に
  最新版をリリースすることを目標にしているようです。

  |
  |既出の日本語サイトのアドバイザリには、まだこの表記がありません。
  |“このリリースは品質検査の無事完了に基づく。” ともあるのですが、
  |果たして、目標の日までにゴールできるのでしょうか。。。

  リンク先は当サイト外です。 マイクロソフト セキュリティ アドバイザリ (912840)(米国サイト版)
   Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
   http://www.microsoft.com/technet/security/advisory/912840.mspx



MS緊急パッチ、リリースされる...が...: (2006.01.06 追記)
  Graphics Rendering Engine の脆弱性を修正するものとして、
  Microsoft Windows 2000、Microsoft Windows XP、Microsoft Windows Server 2003
  に対する修正プログラムが、米国時間1月5日、月例以外で急遽リリースされました。

  Microsoft 社は、「Windows 98, Windows 98 SE および Windows Me には、
  脆弱性の影響を受けるコンポーネントが含まれているが(※3)、緊急の深刻度に評価
  されるような悪用可能な攻撃経路が確認されていないため、これらのバージョンでは、
  この脆弱性は緊急ではない。」 (同社 TechNet セキュリティ情報 (※2)
  としていて、アドバイザリの番号は別物になっています。

  |
  |つまり、「Windows 98, Windows 98 SE および Windows Me ユーザは
  |10日の月例のリリース(またはそれ以降)を待て」ということでしょうか。
  |Microsoft 社にすでに十分な評価環境がないのではないか(等閑基調?)
  |ともとれますが...

  ※2:
  リンク先は当サイト外です。 Microsoft TechNet より:
   Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
   http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

  ※3:
  訂正されていました。before after



Microsoft Update、サーバーは大丈夫?: (2006.01.05 追記)
  ところで、その1月10日(日本時間では1月11日未明)...
  Microsoft Update、サーバーの方は、キャパ大丈夫なんでしょうか?
  殆どの Windows マシンユーザは、自動更新に設定しているでしょうから、
  おそらく、かなりな負荷がサーバーに押し寄せるでしょう。
  サーバー高負荷状態でスレッド異常終了、壊れたパッチを充てられたら
  何のために公式版を待っていたのか?ということになるでしょう。

  極力マシンを使用せず(攻撃コードの侵入ルートはネット接続だけとは限らない)、
  2〜3日ほど間を置いて、周りの様子を見ながら更新するのも一つの方法でしょう。

  或いは、こういった時は ActiveX コントロールを使用せず、修正プログラム自体を
  手動でダウンロード(※1)・インストールするか、はたまた或いは、あまり起動しないか
  所持台数が多い場合は、Microsoft 社に「セキュリティアップデート CD-ROM 」の
  有無を問い合わせ、入手するのも手かもしれません(再セットアップ時にも有利)。

  ※1:
   リンク先は当サイト外です。 Windows Update カタログ
   http://windowsupdate.microsoft.com/catalog/ja/



この脆弱性を突く“電子メール”ウィルスが確認される: (2006.01.03 追記)

  リンク先は当サイト外です。 F-Secure/ Virus Description Database
   PFV-Exploit.D
   http://www.f-secure.com/v-descs/pfv-exploit_d.shtml


  上述の脆弱性を突いたファイルの、セキュリティソフトウェア・ベンダーへの
  被害報告は、当初は「Webを閲覧して」というものばかりでした。このウィルスは、
  『電子メールのプレビュー対策は当の昔に終わってる』そう思ってしまうであろう、
  最新マシンのユーザほど被害が大きくなるのではないかと予想され、
  注意が必要です。



本件はアドバイザリ (896424) 修正プログラム(MS05-053) とは別物: (2006.01.01追記)
  このページを書いている日本時間2005年12月31日午前9時現在において、
  Microsoft 社はまだこの脆弱性への修正プログラムを公表できていません。
  すでに発生しているものを含め、この脆弱性を突いたウィルスへの対策は、
  ウィルス対策ソフトのパターンファイル(最新版があればエンジンも)を最新にし、
  今後の情報に注意していくしかありません。






 ■ ご注意 ■

当サイトでの、上記のような記事に速報性はありません。
ご使用のコンピュータの OS や周辺コンポーネント等に纏わる脆弱性情報に
絶えず注目していく必要があります。



  リンク先は当サイト外です。 経済産業省/ 情報セキュリティに関する政策、緊急情報/
    コンピュータウイルス対策基準
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

  リンク先は当サイト外です。 総務省/
    国民のための情報セキュリティサイト
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

  リンク先は当サイト外です。 独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC)
  http://www.ipa.go.jp/security/

  リンク先は当サイト外です。 総務省・経済産業省 連携プロジェクト サイバークリーンセンター
  https://www.ccc.go.jp/

  リンク先は当サイト外です。 有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC)         
  http://www.jpcert.or.jp/

  リンク先は当サイト外です。 JEITA 社団法人電子情報技術産業協会/
    パーソナルコンピュータ(PC)安全・安心
    http://home.jeita.or.jp/cgi-bin/page/detail.cgi?n=75&ca=14

  リンク先は当サイト外です。 日本コンピュータセキュリティリサーチ株式会社
  http://www.jcsa.jp/

  リンク先は当サイト外です。 株式会社ラック/
    注意喚起の記事
    https://www.lac.co.jp/lacwatch/alert/

  リンク先は当サイト外です。 エフセキュア株式会社/
    エフセキュアブログ
    http://blog.f-secure.jp/

  リンク先は当サイト外です。 フィッシング対策協議会 (Council of Anti-Phishing Japan)
  http://www.antiphishing.jp/

  リンク先は当サイト外です。 警視庁/ 警視庁について/
    こんなときこそ110番(通報したい時)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_110.html
    こんな時は、もう一つの110番(#9110: 悩みごと・相談ごと)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_9110.html


ベンダーのサイトなどで定期的な情報収集をされることを強くお勧めします。






目次へ戻る