落書き part-4

【 お知らせ 】

スパム対策の為、一部のIPアドレスからのコメント投稿とトラックバック受付を拒否しています。これにより "巻き添え" になられた方がいらっしゃいましたら、メールフォームより御連絡頂ければ対応させて頂きます。お手数をお掛けしますが、宜しくお願い致します。

過去の日記

2007年07月11日(水)

_ 月刊 Microsoft Update の日 (2007-07)

私の Windows 2000 Professional SP4 な環境では、図のように2つリストアップされました。

Microsoft Update 2007-07 on Win2000 Pro SP4

ところがですね、KB926122 (MS07-039) で影響を受けるのは Windows 2000 Server SP4 で、Professional の方は影響を受けないことになっているんですよね。なのに何故に私の環境でリストアップされたのでしょうかね? MS はまた何かミスっているんじゃなかろうか?

【 7月13日 追記 】

Professional に配信されること自体は間違いでは無い様です。脳脂肪さんのコメント参照。

_ IE と Firefox の合わせ技での脆弱性

↑という解釈で良いのかな?

デモ用の実証コードが下記ページで公開されています。

うーむ、色々と楽しいことが起きますね(ヲイ
但し前提条件として、IE でリンクを踏んだ場合ですね。Firefox でリンクを踏んだ場合は、「外部プロトコルの要求」の警告ダイアログが表示されますね。

【7月12日 追記】
誤解を招きそうな表現なので補足(汗
IE で踏んだ場合でも、Firefox 側の「外部プロトコルの要求」の警告ダイアログが出ますが、この場合は既に「やられちゃった」後です。この点が Firefox で踏んだ場合との大きな違いです。
この脆弱性を悪用する為には、悪意的な細工を施したページに IE でアクセスさせることが大前提となります。

Windows ユーザで、「一応 Firefox はインストールしてあるけど、普段は IE 使ってます」という人は特に注意が必要かもですね。

対策は、怪しいページには近寄らないこと。
あるいは、FrSIRT の Security Advisories に従ってレジストリを編集すること。具体的にはレジストリエディタで HKEY_CLASSES_ROOT\FirefoxURL キーの名前を変更するか削除すること。

実際に FirefoxURL キーをリネームした上で上記のデモページを試してみましたが、IE でリンクを踏んでも何も起きなくなりました。但し、このレジストリの変更が Firefox に何らかの副作用を与えるのか否かまでは確認していません。

【 7月13日 追記 】

Mozilla Security Blog の 『Security Issue in URL Protocol Handling on Windows』によれば、この問題は次の 2.0.0.5 で修正される予定だそうです。

_ Sun Java に脆弱性

この件に関する セキュリティホール memo さんの記事。

JRE 6 / JRE 5 / JRE 1.4.2 いずれも最新バージョンで修正されている模様です。現時点でのそれぞれの最新バージョンは、JRE 6 Update 2 / JRE 5 Update 12 / JRE 1.4.2_15 となっています。それぞれのダウンロード先は下記から。

JRE 6 Update 2
http://java.sun.com/javase/ja/6/download.html の Java Runtime Environment (JRE) 6u2
JRE 5 Update 12
http://java.sun.com/j2se/1.5.0/ja/download.html の Java Runtime Environment (JRE) 5.0 Update 12
JRE 1.4.2_15
http://java.sun.com/j2se/1.4.2/ja/download.html の J2SE v 1.4.2_15 JRE


なお、JRE のバージョンの確認は下記ページで行えます。

本日のコメント(全2件) [コメントを入れる]
脳脂肪 (2007年07月13日(金) 20:53)

既に御存知なんじゃないかと思いますが、見つけちゃったので。<br>日本のセキュリティチームのBlogの続編<br><br>7月のセキュリティリリース後のまとめ<br>http://www.exconn.net/Blogs/team02/archive/2007/07/13/17002.aspx<br>| MS07-039: Windows Active Directory の脆弱性により、リモートでコードが実行される (926122)<br>| 今回の Windows 2000 向けの更新では、ntdsa.dll というファイルを更新しているのですが、<br>| このファイルは、Windows 2000 Server だけではなく、Windows 2000 Professional にも存在します。 <br>| ファイルが、存在はしますが、脆弱なコード部分を悪用する手段 (入り口) が<br>| Windows 2000 Professional には存在しないため、「影響を受けない」と評価しています。<br>| Microsoft Update では、脆弱なコードを持つモジュールをベースに配信を行っており、<br>| そのため、Windows 2000 Professional にも更新プログラムが配信されているという訳です。<br>だそうです。

tomcat (2007年07月13日(金) 22:25)

脳脂肪さん、ありがとうございます。<br>まだ読んでいませんでした。<br><br>Professionalにも配信された理由はこれで分かりましたが、ならば最初からそのような注意書きをしておいてくれたらば悩まなくても済んだのに、と思ってしまいました。<br>KB926122(MS07-039)の技術情報には、13日付で修正が入った模様ですね。


過去の日記