セキュリティ > セキュリティ情報検索

Workstation サービスのバッファ オーバーランにより、コードが実行される (828749) (MS03-049)

公開日: 2003年11月12日 | 最終更新日: 2003年11月17日

概要 :

このセキュリティ情報の対象となるユーザー : Microsoft® Windows® を使用しているお客様

脆弱性の影響 : リモートでコードが実行される

最大深刻度 : 緊急

推奨する対応策 : システム管理者は直ちにこの更新をインストールして下さい。

含まれる過去の更新プログラム : なし

警告 : なし

テストしたソフトウェアおよび更新プログラムのダウンロード先

影響を受けるソフトウェア :

PC/AT PC-9800

Microsoft Windows 2000 Service Pack 2、Service Pack 3、または Service Pack 4Microsoft Update

ダウンロード

ダウンロード

Microsoft Windows XP Service Pack 未適用、または Service Pack 1Microsoft Update

ダウンロード

-

Microsoft Windows XP 64-bit EditionMicrosoft Update

ダウンロード

-

ダウンロードこのマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

Microsoft Updateこのマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。

Microsoft Update 利用の手順
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx 

: このリンクは、10 月 16 日にリリースされた MS03-043 (828035) の更新プログラムにリンクされています。Windows XP 用の MS03-049 (828749) セキュリティ更新プログラムはリリースされていませんので、ご注意ください。Windows XP 用の MS03-043 セキュリティ更新プログラムには、MS03-049 の脆弱性を修正するファイルが含まれています。すでに MS03-043 の更新プログラムを適用されたWindows XP 環境では、Microsoft Update に、MS03-049 のセキュリティ修正が表示されることはありません。しかし、Windows 2000 用の MS03-043 (828035) には、MS03-049 (828749) の脆弱性を修正するファイルは含まれていませんので、Windows 2000 環境の場合は、MS03-043 を適用された環境にも、MS03-049 セキュリティ更新プログラムをインストールする必要があります。

影響を受けないソフトウェア :

Microsoft Windows NT Workstation 4.0, Service Pack 6a

Microsoft Windows NT Server 4.0, Service Pack 6a

Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6

Microsoft Windows Millennium Edition

Microsoft Windows XP 64-Bit Edition Version 2003

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。

Top of sectionTop of section

詳細

技術的な詳細

技術的な説明 :

Workstation サービスにセキュリティ上の脆弱性が存在し、これにより影響を受けるコンピュータで、リモートでコードが実行される可能性があります。この脆弱性は Workstation サービスに未チェックのバッファが含まれるため、起こります。

この脆弱性が悪用された場合、攻撃者は影響を受けるコンピュータでシステムの特権を取得する、または Workstation サービスが異常終了する可能性があります。攻撃者は、プログラムのインストール、データの表示、変更、削除または完全な特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

問題を緩和する要素 :

受信 UDP ポート 138、139、445 および TCP ポート 138、139、445 を、ファイアウォールを使用してブロックしている場合、攻撃者が Workstation サービスにメッセージを送ることが阻止されます。Windows XP のインターネット接続ファイアウォールなどのほとんどのファイアウォールはこれらのポートを既定でブロックします。

Workstation サービスを無効にすることにより、攻撃の可能性が防がれますが、この回避策を実行すると、多くの影響があります。詳細は「回避策」のセクションをご覧下さい。

Windows 2000 および Window XP のみがこの脆弱性の影響を受けます。そのほかのオペレーティング システムはこの攻撃の影響は受けません。

深刻度 :

Microsoft Windows 2000

緊急

Microsoft Windows XP

緊急

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :CAN-2003-0812

Top of sectionTop of section

回避策

マイクロソフトはこの脆弱性に対応するための次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

ファイアウォールで UDP ポート 138139445 および TCP ポート 138139445 をブロックする
これらのポートはリモート コンピュータでリモート プロシージャコール (RPC) 接続を受け入れるために使用されます。これらをファイアウォールでブロックすることにより、ファイアウォールで保護されているコンピュータがこの脆弱性を悪用する攻撃を受けることを防ぐ手助けとなります。

Windows XP に含まれるインターネット接続ファイアウォールなどのパーソナルファイアウォールを使用する

Windows XP のインターネット接続ファイアウォール機能を使用し、インターネット接続を保護している場合、既定でインターネットからの受信トラフィックがブロックされます。

ネットワークセットアップウィザードを使用して、インターネット接続ファイアウォールを有効にするためには

1.

[スタート] をクリックし、[コントロールパネル] をクリックします。

2.

既定のカテゴリの表示で、[ネットワークとインターネット接続] をクリックし、次に、[インターネット接続のセットアップや変更を行う] をクリックします。コンピュータがインターネットに直接接続していることを示すウィザード内の構成を選択すると、インターネット接続ファイアウォール機能が有効になります。

接続のためにインターネット接続ファイアウォールを手動で構成するためには

1.

[スタート] をクリックし、[コントロールパネル] をクリックします。

2.

既定のカテゴリの表示で、[ネットワークとインターネット接続] をクリックし、次に [ネットワーク接続] をクリックします。

3.

インターネット接続ファイアウォールを有効にしたい接続を右クリックし、次に [プロパティ] をクリックします。

4.

[詳細設定] タブをクリックします。

5.

[インターネットからのこのコンピュータへのアクセスを制御したり防いだりして、コンピュータとネットワークを保護する] を選択しま、次に [OK] をクリックします。

: ファイアウォールを介し、いくつかのアプリケーションおよびサービスの使用を有効にしたい場合、[詳細設定] タブの [設定] をクリックし、インターネット接続ファイアウォールの構成に有効にするプログラム、プロトコルおよびサービスを選択し、それらを有効にする必要があります。

Windows 2000 ベースのコンピュータおよび Windows XP ベースのコンピュータのアドバンスト TCP/IP フィルタリングを有効にする

アドバンスト TCP/IP フィルタリングを有効にすると、受信者が送信を要求していないすべての受信トラフィックをブロックすることができます。次のサポート技術情報で、この構成方法について説明しています。

309798 Windows 2000 で TCP/IP フィルタリングを構成する

Workstation サービスを無効にする

Workstation サービスを無効にすることにより、攻撃の可能性が防がれます。

Windows XP Workstation サービスを無効にするためには

[スタート] をクリックし、次に [コントロールパネル] をクリックします。

既定のカテゴリの表示で、[パフォーマンスとメンテナンス] をクリックします。

[管理ツール] をクリックします。

[サービス] をダブルクリックします。

[Workstation] をダブルクリックします。

[標準] タブで、[スタートアップの種類] の一覧で [無効] をクリックします。

[状態][停止] をクリックし、次に [OK] をクリックします。

Windows 2000 Workstation サービスを無効にするためには

[スタート] をクリックし、[設定] をポイントし、次に [コントロールパネル] をクリックします。

[管理ツール] をダブルクリックします。

[サービス] をダブルクリックします。

[Workstation] をダブルクリックします。

[標準] タブで、[スタートアップの種類] の一覧で [無効] をクリックします。

[状態][停止] をクリックし、次に [OK] をクリックします。

回避策の影響 : Workstation サービスが無効にされている場合、コンピュータはネットワークの共有ファイル リソースや共有印刷リソースに接続することができません。この回避策は、スタンド アロンでネットワークに接続する必要のない多くのホーム ユーザーなどのコンピュータでのみ使用して下さい。Workstation サービスが無効にされている場合、Workstation サービスに明示的に依存しているすべてのサービスは起動せず、エラーメッセージがシステム イベント ログに記録されます。次のサービスは Workstation サービスに依存しています。

Alerter (警告)

Browser (ブラウザ)

Messenger (メッセンジャ)

Net Logon (ネットワーク ログオン)

RPC Locator (RPC ロケータ)

これらのサービスはネットワークのリソースにアクセスする、またドメイン認証を実行するために必要です。ダイヤルアップ接続、DSL 接続またはケーブル モデム接続など、スタンド アロン コンピュータについてのインターネット接続およびブラウジングは、これらのサービスが無効にされていても、影響は受けません。

: Microsoft Baseline Security Analyzer は Workstation サービスが無効にされている場合、機能しません。そのほかのアプリケーションもまた、Workstation を必要とする場合があります。アプリケーションが Workstation サービスを必要とする場合、単にこのサービスを再度有効にして下さい。これは、Workstation サービスの [スタートアップの種類][自動] に戻し、コンピュータを再起動することにより、行なうことができます。

Top of sectionTop of section

よく寄せられる質問

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータで、システムの特権で、リモートでコードを実行する可能性があります。または、Workstation サービスを異常終了させる可能性があります。次に攻撃者は、プログラムのインストール、データの表示、変更、削除、全ての特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

何が原因で起こりますか?

Workstation サービスに未チェックのバッファが含まれるため、この脆弱性が起こります。

Workstation サービスとは何ですか?

ローカル ファイル システムのリクエストとリモート ファイルまたは印刷ネットワークのリクエストの両方とも、Workstation サービスを介しおこなわれます。このサービスはリソースが配置されている場所を確認し、リクエストをローカルファイル システムまたはネットワーク コンポーネントに渡します。Workstation サービスが停止すると、すべてのリクエストがローカルリクエストであるとみなされます。Windows ネットワーク アーキテクチャに関する詳細は、次の Web サイトをご覧下さい。 http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnad_arc_tfgi.mspx

この脆弱性により、攻撃者は何ができる可能性がありますか?

この脆弱性により、攻撃者は影響を受けるコンピュータで、システムの特権で、リモートでコードを実行する可能性があります。または Workstation サービスを異常終了させる可能性があります。次に攻撃者は、プログラムのインストール、データの表示、変更、削除、全ての特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるコンピュータの Workstation サービスに不正なメッセージを送ることができる任意のユーザーにより、この脆弱性の悪用される可能性があります。Workstation サービスは既定で Windows のすべてのバージョンで有効であるため、影響を受けるコンピュータと接続を確立することができるユーザーにより、この脆弱性が悪用される可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は不正なネットワーク メッセージを作成し、それを、影響を受けるコンピュータの Workstation サービスに送ることにより、この脆弱性を悪用する可能性があります。このようなメッセージを受け取ると、影響を受けるコンピュータの Workstation サービスは異常終了し、コードを実行する可能性があります。 また、別の攻撃の方法により、影響を受けるコンポーネントにアクセスする可能性もあります。その方法とは、コンピュータへの対話的にログオンに関連するもの、影響を受けるコンポーネントへパラメータを渡すアプリケーションを悪用するものなどがあります。

更新プログラムは何を修正しますか?

この更新は Workstation サービスが、割り当てられたバッファにメッセージを渡す前に、そのメッセージの長さを適切に検証するようにして、この脆弱性を排除します。

Windows XP の更新はなぜ、マイクロソフトセキュリティ情報 MS03-043 を参照しているのですか?

10 月 16 日にリリースされた MS03-043 (828035) の Windows XP 用のセキュリティ更新にこの脆弱性に対する保護の手助けとなる更新されたファイルが含まれているからです。Windows XP 用の MS03-049 (828749) セキュリティ更新プログラムはリリースされていませんので、ご注意ください。Windows XP 用の MS03-043 セキュリティ更新プログラムには、MS03-049 の脆弱性を修正するファイルが含まれています。すでに MS03-043 の更新プログラムを適用されたWindows XP 環境では、Microsoft Update に、MS03-049 のセキュリティ修正が表示されることはありません。 しかし、Windows 2000 用の MS03-043 (828035) には、MS03-049 (828749) の脆弱性を修正するファイルは含まれていませんので、Windows 2000 環境の場合は、MS03-043 を適用された環境にも、MS03-049 セキュリティ更新プログラムをインストールする必要があります。

Top of sectionTop of section

セキュリティ更新プログラムに関する情報

以下の情報の中から、ご使用のプラットフォーム向けのセキュリティ更新プログラムに関する情報をご覧ください。

Windows XP (すべてのバージョン)

: Windows XP 用の MS03-049 (828749) セキュリティ更新プログラムはリリースされていませんので、ご注意ください。Windows XP 用の MS03-043 セキュリティ更新プログラムに、MS03-049 の脆弱性を修正するファイルが含まれています。すでに MS03-043 の更新プログラムを適用されたWindows XP 環境では、Microsoft Update に、MS03-049 のセキュリティ修正が表示されることはありません。しかし、Windows 2000 用の MS03-043 (828035) には、MS03-049 (828749) の脆弱性を修正するファイルは含まれていませんので、Windows 2000 環境の場合は、MS03-043 を適用された環境にも、MS03-049 セキュリティ更新プログラムをインストールする必要があります。

Windows XP のセキュリティ更新プログラムの詳細については、マイクロソフトセキュリティ情報 MS03-043をご覧下さい。

Top of sectionTop of section

Windows 2000 (すべてのバージョン)

必要条件 :

Windows 2000 用のこのセキュリティ更新プログラムは Service Pack 2 (SP2)、Service Pack 3 (SP3) または Service Pack 4 (SP4) を実行している必要があります。

Windows デスクトップ製品のライフサイクルについては、次のマイクロソフト Web サイトを参照してください。

http://support.microsoft.com/gp/lifeselect

追加情報については、次のマイクロソフト サポート技術情報をご覧下さい。

260910 最新の Windows 2000 Service Pack の入手方法

今後リリースされるサービスパックに含まれる更新プログラム :

この問題に対する更新プログラムは Windows 2000 Service Pack 5 に含まれる予定です。

インストール情報 :

このセキュリティ更新プログラムは次のセットアップ スイッチをサポートします。

/help: インストール スイッチの一覧を表示します

セットアップモード
/quiet: QUIET モード (ユーザー入力を必要としません。表示もしません)
/passive: 無人モード (進行状況バーのみ)
/uninstall: パッケージをアンインストールします

再起動オプション
/norestart: インストールの完了後、再起動しません
/forcerestart: インストール後、再起動します

特別なオプション
/l: インストール済みの Windows 更新プログラムまたは更新パッケージを表示します
/o: 確認メッセージを表示せずに OEM ファイルを上書きします
/n: アンインストールに必要なファイルのバックアップを作成しません
/f: シャットダウン時に他のプログラムを強制終了します
: 旧バージョンとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンによって使用されるセットアップスイッチもサポートしています。しかし、今後リリースされるセキュリティ更新プログラムで、以前のバージョンのスイッチがサポートされなくなる可能性があるため、今後はこれらのスイッチの使用を停止することを推奨します。

適用に関する情報 :

Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 について

ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、次のコマンドラインを使用して下さい。

Windows2000-kb828749-x86-jpn /passive /quiet

Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 について

コンピュータを強制的に再起動せずにセキュリティ更新プログラムをインストールするためには、次のコマンド ラインを使用して下さい。

Windows2000-kb828749-x86-jpn /norestart

: これらのスイッチを 1 つのコマンド ラインに組み込むことができます。

Microsoft Software Update Services でこのセキュリティ更新プログラムを適用する方法に関する情報は、次のマイクロソフトの Web サイトをご覧下さい。

http://www.microsoft.com/japan/windowsserversystem/sus/susoverview.mspx

再起動の必要性 :

このセキュリティ更新プログラムの適用後に、コンピュータを再起動する必要があります。

削除に関する情報 :

この更新を削除するためには、[コントロールパネル] の [プログラムの追加と削除] を使用して下さい。

システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB828749$\Spuninst フォルダにあり、これは次のセットアップスイッチをサポートします。

/?: インストール スイッチの一覧を表示します
/u : 無人モードで実行します。
/f: コンピュータがシャット ダウンする時、そのほかのプログラムを強制的に閉じます
/z: インストールが完了する時、再起動しません
/q: 自動モードを使用します (ユーザーの操作なし)

ファイル情報

この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。

Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 について

日付時間バージョンサイズファイル名

2003/10/23

12:44

5.00.2195.6862

96,528

Wkssvc.dll

更新プログラムが正しくインストールされたかどうか確認する方法 :

セキュリティ更新プログラムがコンピュータにインストールされていることを確認するためには、Microsoft Baseline Security Analyzer (MBSA) ツールを使用して下さい。MBSA に関する追加情報は次のマイクロソフト サポート技術情報をご覧下さい。

320454 Microsoft Baseline Security Analyzer (MBSA) 1.2 のリリース

また、次のレジストリ キーを調べることにより、このセキュリティ更新プログラムがインストールしたファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB828749\Filelist

: 管理者または OEM メーカーによって 828749 のセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリーム化されている場合、このレジストリ キーが適切に作成されないことがあります。

Top of sectionTop of section
Top of sectionTop of section

謝辞 :

この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。

MS03-049 の問題を報告してくださった eEye Digital Security

他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。

コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。

本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。

他のセキュリティ情報 :

Microsoft TechNet Security センター では、製品に関するセキュリティ情報を提供しています。

Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/ 

Microsoft Baseline Security Analyzer (MBSA) : http://www.microsoft.com/japan/technet/security/tools/Tools/mbsahome.asp MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。

Windows Update カタログ : http://support.microsoft.com/kb/323166 

Microsoft Update : http://update.microsoft.com/microsoftupdate/

Office のアップデート : http://office.microsoft.com/officeupdate/

サポート :

更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

詳細情報 :

US マイクロソフトセキュリティ情報(MS03-049)
http://www.microsoft.com/technet/security/bulletin/ms03-049.mspx

サポート技術情報 (KB) 文書番号 : 828749
[MS03-049] Workstation サービスのバッファ オーバーランにより、コードが実行される

更新履歴 :

2003/11/12: このセキュリティ情報ページを公開しました。

2003/11/17: Windows 2000 の 「再起動の必要性」 の欄を更新しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。


ページのトップへページのトップへ