【レポート】
新規に4件のセキュリティ情報を公開 - 2008年7月Microsoftセキュリティ情報
2008年7月のセキュリティ情報
マイクロソフトは、2008年7月のセキュリティ情報を9日に発表した。今回のセキュリティ情報では、もっとも危険度の高い「緊急」がなく、「重要」のみが4件となっている。4件について、その概略を紹介する。
MS08-037:DNS の脆弱性により、なりすましが行われる(953230)
ドメインネームシステム(DNS)における2つの脆弱性が報告された。DNSのリクエスト・応答の際に、偽の応答を受け取ることが可能になり、なりすましが行われる可能性が指摘されている。この脆弱性はDNSクライアントとDNSサーバーの両方に存在し、リモートの攻撃者は攻撃者のインターネット上のコンピュータに向いたネットワークトラフィックを攻撃者のコンピュータにリダイレクトする可能性があるとのことである。
更新として、DNSのリクエストにおける使用するポートの範囲を広げることを含む修正がなされた。ただし、この修正にあたって、事前にDNSのポート範囲を変更するような設定を行っている場合には、ポート番号の範囲の拡大は行われない(設定されているものが優先される)。DNSのポート番号の変更をすることは少ない、さらにいえば、アプリケーションでこのような変更をすることもあまり多くはない。変更方法は直接レジストリを修正するので、もし、変更をしていた場合には、注意をしてほしい。
MS08-038:Windowsエクスプローラの脆弱性により、リモートでコードが実行される(950582)
Windowsエクスプローラ(ファイル)の脆弱性で、エクスプローラでファイル検索を行った際に作成される検索ファイルに関わるものである。この検索ファイルに対して、特別な細工が施され、ファイルが開かれた場合、リモートでコードが実行される可能性がある。
ただし、リモートでコードが実行されるのは、細工をされた検索ファイルが、特定のフォルダで保存され、特定の方法でのみ開かれた場合に限られる。そのため、今回は「緊急」ではなく「重要」となった。
ユーザーが管理者ユーザー権限でログオンしている場合、この脆弱性が悪用されると、攻撃者により影響を受けるコンピュータが完全に制御される可能性があるので、注意をしてほしい。Windows Vista以降で搭載された機能を悪用しているものなので、Windows VistaとWindows Server 2008が対象となっている。
MS08-039:Exchange ServerのOutlook Web Accessの脆弱性により、特権の昇格が起こる(953747)
Microsoft Exchange ServerのOutlook Web Access(OWA)における脆弱性である。具体的には、クロスサイトスクリプティング解析の際に発生する脆弱性である。細工をしたメールを使い、OWAに特定のリクエストを行う。すると、OWAの各クライアントのセッションデータへのアクセス権を取得し、特権を昇格する可能性がある。
しかし、この実行にはMicrosoft Exchange Serverのアクセス権が必要であり、その点を考慮すると、危険性はやや低い。とはいえ、メールという性質上、企業などでは、速やかな対策が望まれる修正である。必要な対策を講じてほしい。
MS08-040:Microsoft SQL Serverの脆弱性により、特権が昇格される(941203)
Microsoft SQL Serverの脆弱性に関するものである。この脆弱性により、攻撃者が特定の関数やコードを実行し、コンピュータが完全に制御される可能性がある。
それ以上に注意すべき点が多いのが、対象となるMicrosoft SQL Serverが、7.0から2005までと非常に広範に及ぶことである。このことが、さらなる問題点を浮かび上がらせている。まず、7.0ではインストーラがなく、管理者が手動でファイルをコピーすることでインストール作業を行っていた。つまり、マイクロソフトアップデートが使用できないのである。これらの修正に対しては、手動で行う必要がある。
特に、7.0のアプリケーション用の組み込みSQL Server(MSDE 1.0)などでは、会計・給与計算・写真のライブラリ管理などのアプリケーションで利用されている可能性がある。これらの「隠れたSQL Server」も今回の対象となっているのである。
マイクロソフトでは、ファイル検索で「Sqlserver.exe」をし、存在すれば、そのプロダクトバージョンの確認をするようにとしている。今回の更新前後のプロダクトバージョンは、表1の通りである。
表1 Sqlserver.exeのプロダクトバージョン
| 製品バージョン | 更新前のバージョン | 更新後のバージョン |
|---|---|---|
| SQL Server 2005 SP2 | 9.00.3042.00 | 9.00.3068.00(GDR) 9.00.3233.00(QFE) |
| SQL Server 2000 SP4 | 8.00.2039 | 8.00.2050(GDR) 8.00.2273(QFE) |
| SQL Server 7.0 SP4 | 7.00.1063 | 7.00.1152 |
SQL Server 7.0では、事前にSP4までが適用されていないと、正しく修正が適用されない可能性もある。この点にも注意してほしい。また、このセキュリティ情報にあわせ、SQL Serverのバージョンの確認方法について、追加情報を提供しているので、参照してほしい。
関連記事
| 日本の携帯市場や出会い系サイトを狙うスパムメール - シマンテック月例スパムレポート [2008/7/7] |
| MS、2008年7月セキュリティ情報の事前通知 [2008/7/4] |
| マカフィー、6月のサイバー脅威の状況を発表 [2008/7/4] |
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
[モーニング娘。]新体制でガールズアワード初登場 新曲初披露に先輩・矢口も絶賛 [18:48 5/26] エンタメ |
|
[メン・イン・ブラック3]ソネンフェルド監督に聞く「3作の中で最も感情的な面で満足できる」 [18:30 5/26] エンタメ |
|
[注目映画紹介]「MY HOUSE」 モノクロの異色作 現代人の欲望の行きつく先とは [17:30 5/26] エンタメ |
|
「語れ!ガンダム」に安彦良和インタビュー、次回作構想も [17:20 5/26] ホビー |
|
イチゴバニラが好きな光秀が信長倒す……。 覚えている語呂合わせ [17:00 5/26] キャリア |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
