セキュリティ情報
Microsoft セキュリティ情報 MS03-049 - 重大
ワークステーション サービスのバッファー オーバーランによってコードの実行が許可される (828749)
公開日: 2003 年 11 月 11 日 |更新日: 2003 年 11 月 19 日
バージョン: 1.2
発行日: 2003 年 11 月 11 日
更新日: 2003 年 11 月 19 日
バージョン番号: 1.2
2003 年 11 月にリリースされたすべての Windows セキュリティ情報を表示する
まとめ
このドキュメントを読む必要があるユーザー: Microsoft® Windows® を使用しているお客様
脆弱性の影響: リモートでコードが実行される
最大重大度評価: 重大
推奨事項: システム管理者は、直ちにパッチを適用する必要があります。
セキュリティ更新プログラムの置換: なし
注意事項: なし
テスト済みのソフトウェアとセキュリティ更新プログラムのダウンロード場所:
影響を受けるソフトウェア
Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4 - 更新プログラムをダウンロードする
Microsoft Windows XP、Microsoft Windows XP Service Pack 1 - MS03-043 から更新プログラム をダウンロードする (828035)
Microsoft Windows XP 64 ビット エディション - MS03-043 から更新プログラム をダウンロードする (828035)
注: MS03-049 セキュリティ更新プログラムの Windows XP バージョンはありません。 セキュリティ情報 MS03-043 (828035) の一部としてリリースされた Windows XP セキュリティ更新プログラムには、この脆弱性から保護するのに役立つ更新されたファイルが含まれています。 このセキュリティ情報の Windows XP ダウンロード リンクは、Windows XP MS03-043 セキュリティ更新プログラムへのリンクです。 MS03-043 (828035) の Windows XP セキュリティ更新プログラムを適用している場合、このセキュリティ情報に記載されている脆弱性から保護するために更新プログラムを再適用する必要はありません。 ただし、このセキュリティ情報の一部としてリリースされた Windows 2000 セキュリティ更新プログラムには、MS03-043 (828035) セキュリティ情報に含まれていない更新されたファイルが含まれています。 お客様は、MS03-043 (828035) の Windows 2000 セキュリティ更新プログラムを適用した場合でも、この Windows 2000 セキュリティ更新プログラムを適用する必要があります。 MS03-043 Windows XP セキュリティ更新プログラムの今後の更新プログラムがリリースされる可能性があり、この脆弱性から保護するために必要なファイルも含まれます。
影響を受けるソフトウェア以外
- Microsoft Windows NT Workstation 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0、ターミナル サーバー エディション、Service Pack 6
- Microsoft Windows Millennium Edition
- Microsoft Windows XP 64 ビット エディション バージョン 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64 ビット エディション
上記のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンはサポートされなくなり、影響を受ける場合と影響を受ける可能性があります。
一般情報
技術的な詳細
技術的な説明:
ワークステーション サービスにセキュリティの脆弱性が存在し、影響を受けるシステムでリモートでコードが実行される可能性があります。 この脆弱性は、ワークステーション サービスにチェックされていないバッファーが原因で発生します。
悪用された場合、攻撃者は影響を受けるシステムに対するシステム特権を取得するか、ワークステーション サービスが失敗する可能性があります。 攻撃者は、プログラムのインストール、データの表示、データの変更、データの削除、完全な特権を持つ新しいアカウントの作成など、システム上で何らかのアクションを実行する可能性があります。
軽減要因:
- ユーザーがファイアウォールを使用して受信 UDP ポート 138、139、445、TCP ポート 138、139、445 をブロックした場合、攻撃者はワークステーション サービスにメッセージを送信できなくなります。 Windows XP のインターネット接続ファイアウォールを含むほとんどのファイアウォールでは、これらのポートが既定でブロックされます。
- ワークステーション サービスを無効にすると、攻撃の可能性を防ぐことができます。 ただし、この回避策を実行すると、さまざまな影響があります。 詳細については、「回避策」セクションを参照してください。
- 影響を受けるのは Windows 2000 と Windows XP のみです。 他のオペレーティング システムは、この攻撃に対して脆弱ではありません。
重大度の評価:
Microsoft Windows 2000 | 重大 |
Microsoft Windows XP | 重大 |
上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。
脆弱性識別子:CAN-2003-0812
対処方法
Microsoft は、この脆弱性に適用される次の回避策をテストしました。 これらの回避策は既知の攻撃ベクトルをブロックするのに役立ちますが、基になる脆弱性は修正されません。 回避策により、場合によっては機能が低下する場合があります。このような場合は、機能の低下を以下に示します。
ファイアウォールで UDP ポート 138、139、445、TCP ポート 138、139、445 をブロックします。
これらのポートは、リモート コンピューターでリモート プロシージャ コール (RPC) 接続を受け入れるために使用されます。 ファイアウォールでブロックすると、そのファイアウォールの背後にあるシステムがこの脆弱性を悪用しようとして攻撃されるのを防ぐことができます。
Windows XP に含まれているインターネット接続ファイアウォールなどの個人用ファイアウォールを使用します。
Windows XP のインターネット接続ファイアウォール機能を使用してインターネット接続を保護する場合、インターネット接続ファイアウォールは、インターネットまたはイントラネットからの受信トラフィックを既定でブロックします。
ネットワーク セットアップ ウィザードを使用してインターネット接続ファイアウォール機能を有効にするには:
- [スタート] ボタン、[コントロール パネル] の順にクリックします。
- 既定のカテゴリ ビューで、[ネットワークとインターネット接続] をクリックし、[セットアップ] をクリックするか、自宅または小規模なオフィス ネットワークを変更します。 ネットワーク セットアップ ウィザードでコンピューターがインターネットに直接接続されていることを示す構成を選択すると、インターネット接続ファイアウォール機能が有効になります。
接続用にインターネット接続ファイアウォールを手動で構成するには:
[スタート] ボタン、[コントロール パネル] の順にクリックします。
既定のカテゴリ ビューで、[ネットワークとインターネット接続] をクリックし、[ネットワーク接続] をクリックします。
インターネット接続ファイアウォールを有効にする接続を右クリックし、[プロパティ] をクリックします。
[詳細設定] タブをクリックします。
[インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスを選択し、[OK] をクリックします。
注: ファイアウォールを介して一部のアプリケーションとサービスの使用を有効にする場合は、[詳細設定] タブの [設定] をクリックし、プログラム、プロトコル、およびサービスを選択します。
Windows 2000 ベースのシステムと Windows XP ベースのシステムで、高度な TCP/IP フィルター処理を有効にします。
高度な TCP/IP フィルタリングを有効にして、要求されていない受信トラフィックをすべてブロックできます。 TCP/IP フィルター処理を構成する方法の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。
ワークステーション サービスを無効にします。
ワークステーション サービスを無効にして、攻撃の可能性を防ぐことができます。
Windows XP でワークステーション サービスを無効にするには:
- [スタート] ボタン、[コントロール パネル] の順にクリックします。
- 既定のカテゴリ ビューで、[パフォーマンスとメンテナンス] をクリックします。
- [管理ツール]をクリックします。
- [サービス] をダブルクリックします。
- [ワークステーション] をダブルクリックします。
- [全般] タブの [スタートアップの種類] の一覧で [無効] をクリックします。
- [サービスの状態] で [停止] をクリックし、[OK] をクリックします。
Windows 2000 でワークステーション サービスを無効にするには:
- [スタート] をクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
- [管理ツール] をダブルクリックします。
- [サービス] をダブルクリックします。
- [ワークステーション] をダブルクリックします。
- [全般] タブの [スタートアップの種類] の一覧で [無効] をクリックします。
- [サービスの状態] で [停止] をクリックし、[OK] をクリックします。
回避策の影響: ワークステーション サービスが無効になっている場合、システムはネットワーク上の共有ファイル リソースまたは共有印刷リソースに接続できません。 この回避策は、ネットワークに接続しないスタンドアロン システム (多くのホーム システムなど) でのみ使用してください。 ワークステーション サービスが無効になっている場合、ワークステーション サービスに明示的に依存するすべてのサービスは開始されず、エラー メッセージがシステム イベント ログに記録されます。 次のサービスは、ワークステーション サービスによって異なります。
- Alerter
- Browser
- メッセンジャー
- Net Logon
- RPC ロケーター
これらのサービスは、ネットワーク上のリソースにアクセスし、認証を実行するためにメイン必要です。 ダイヤルアップ接続、DSL 接続、ケーブル モデム接続のユーザーなど、スタンドアロン システムのインターネット接続と参照は、これらのサービスが無効になっている場合は影響を受けません。
注: ワークステーション サービスが無効になっている場合、Microsoft Baseline Security Analyzer は機能しません。 他のアプリケーションでもワークステーション サービスが必要になる可能性があります。 アプリケーションでワークステーション サービスが必要な場合は、サービスを再度有効にします。 これは、ワークステーション サービスのスタートアップの種類を [自動] に変更し、システムを再起動することで実行できます。
よく寄せられる質問
この脆弱性の範囲は何ですか?
これはバッファー オーバーランの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムに対するシステム特権を使用してリモートでコードを実行したり、ワークステーション サービスが失敗したりする可能性があります。 攻撃者は、プログラムのインストール、データの表示、データの変更、データの削除、完全な特権を持つ新しいアカウントの作成など、システム上で何らかのアクションを実行する可能性があります。** **
この脆弱性の原因は何ですか?
この脆弱性は、ワークステーション サービス内にチェックされていないバッファーが原因で発生します。
ワークステーション サービスとは
ローカル・ファイル・システム要求とリモート・ファイル要求または印刷ネットワーク要求の両方が、ワークステーション・サービスを介してルーティングされます。 このサービスは、リソースが配置されている場所を決定し、要求をローカル ファイル システムまたはネットワーク コンポーネントにルーティングします。 ワークステーション サービスが停止すると、すべての要求がローカル要求と見なされます。 Windows ネットワーク アーキテクチャの詳細については、次の Microsoft Web サイトを参照してください: https://www.microsoft.com /technet/prodtechnol/windows2000serv/reskit/cnet/cnad_arc_tfgi.mspx
この脆弱性により、攻撃者は何を実行できるでしょうか。
攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムに対するシステム特権でコードが実行されたり、ワークステーション サービスが失敗したりする可能性があります。 攻撃者は、プログラムのインストール、データの表示、データの変更、データの削除、完全な特権を持つ新しいアカウントの作成など、システム上で何らかのアクションを実行する可能性があります。
誰がこの脆弱性を悪用する可能性がありますか?
影響を受けるシステム上のワークステーション サービスに不正な形式のメッセージを配信できる匿名ユーザーは、この脆弱性を悪用しようとする可能性があります。 ワークステーション サービスはすべてのバージョンの Windows で既定で有効になっているため、影響を受けるシステムとの接続を確立できるユーザーがこの脆弱性を悪用しようとする可能性があることを意味します。
攻撃者がこの脆弱性を悪用する方法
攻撃者は、特別に細工されたネットワーク メッセージを作成し、影響を受けるシステム上のワークステーション サービスにメッセージを送信することにより、この脆弱性を悪用しようとする可能性があります。 このようなメッセージを受信すると、ワークステーション サービスがコードを実行できるように、脆弱なシステム上のワークステーション サービスが失敗する可能性があります。
また、攻撃者は、影響を受けるコンポーネントに別のベクター (対話形式でシステムにログオンするベクターなど) や、脆弱なコンポーネント (ローカルまたはリモート) にパラメーターを渡す別のアプリケーションを使用してアクセスする可能性もあります。
更新プログラムは何を行いますか?
この更新プログラムは、ワークステーション サービスが割り当てられたバッファーにメッセージを渡す前にメッセージの長さを適切に検証することで、この脆弱性を排除します。
Windows XP 更新プログラムが MS03-043 セキュリティ情報を参照する理由
MS03-049 セキュリティ更新プログラムの Windows XP バージョンはありません。 セキュリティ情報 MS03-043 (828035) の一部としてリリースされた Windows XP セキュリティ更新プログラムには、この脆弱性から保護するのに役立つ更新されたファイルが含まれています。 このセキュリティ情報の Windows XP ダウンロード リンクは、Windows XP MS03-043 セキュリティ更新プログラムへのリンクです。 MS03-043 (828035) の Windows XP セキュリティ更新プログラムを適用している場合、このセキュリティ情報に記載されている脆弱性から保護するために更新プログラムを再適用する必要はありません。 ただし、このセキュリティ情報の一部としてリリースされた Windows 2000 セキュリティ更新プログラムには、MS03-043 (828035) セキュリティ情報に含まれていない更新されたファイルが含まれています。 お客様は、MS03-043 (828035) の Windows 2000 セキュリティ更新プログラムを適用した場合でも、この Windows 2000 セキュリティ更新プログラムを適用する必要があります。 MS03-043 Windows XP セキュリティ更新プログラムの今後の更新プログラムがリリースされる可能性があり、この脆弱性から保護するために必要なファイルも含まれます。
セキュリティ更新プログラムの情報
インストール プラットフォームと前提条件:
プラットフォームの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。
Windows XP (すべてのバージョン)
注: MS03-049 セキュリティ更新プログラムの Windows XP バージョンはありません。 セキュリティ情報 MS03-043 (828035) の一部としてリリースされた Windows XP セキュリティ更新プログラムには、この脆弱性から保護するのに役立つ更新されたファイルが含まれています。 このセキュリティ情報の Windows XP ダウンロード リンクは、Windows XP MS03-043 セキュリティ更新プログラムへのリンクです。 MS03-043 (828035) の Windows XP セキュリティ更新プログラムを適用している場合、このセキュリティ情報に記載されている脆弱性から保護するために更新プログラムを再適用する必要はありません。 ただし、このセキュリティ情報の一部としてリリースされた Windows 2000 セキュリティ更新プログラムには、MS03-043 (828035) セキュリティ情報に含まれていない更新されたファイルが含まれています。 お客様は、MS03-043 (828035) の Windows 2000 セキュリティ更新プログラムを適用した場合でも、この Windows 2000 セキュリティ更新プログラムを適用する必要があります。 MS03-043 Windows XP セキュリティ更新プログラムの今後の更新プログラムがリリースされる可能性があり、この脆弱性から保護するために必要なファイルも含まれます。 Windows XP のセキュリティ更新プログラムの詳細については、MS03-043 セキュリティ情報を参照してください
Windows 2000 (すべてのバージョン)
前提条件
Windows 2000 の場合、このセキュリティ更新プログラムには、Service Pack 2 (SP2)、Service Pack 3 (SP3)、または Service Pack 4 (SP4) が必要です。
Windows デスクトップ製品のライフ サイクルの詳細については、次の Microsoft Web サイトを参照してください: https:
詳細については、マイクロソフト サポート技術情報の記事を表示するには、次の資料番号をクリックしてください: 260910 最新の Windows 2000 Service Pack を取得する方法
今後のサービス パックに含める:* *
この問題の修正プログラムは、Windows 2000 Service Pack 5 に含まれます。
インストール情報
このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。
/help コマンド ライン オプションを表示します
セットアップ モード
/quiet Quiet モード (ユーザーの操作や表示なし)
/passive 無人モード (進行状況バーのみ)<
/uninstall パッケージをアンインストールします
再起動オプション
/norestart インストールが完了したときに再起動しない
/forcerestart インストール後の再起動
特別なオプション
/l インストールされている Windows 修正プログラムまたは更新プログラム パッケージの一覧
/o プロンプトを表示せずに OEM ファイルを上書きする
/n アンインストールに必要なファイルをバックアップしない
/f コンピューターのシャットダウン時に他のプログラムを強制的に閉じる
注: 下位互換性のために、セキュリティ更新プログラムは以前のバージョンのセットアップ ユーティリティで使用されていたセットアップ スイッチもサポートしていますが、今後のセキュリティ更新プログラムでこのサポートが削除される可能性があるため、以前のスイッチの使用は中止する必要があります。
デプロイ情報
ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 の次のコマンド ラインを使用します。
Windows2000-kb828749-x86-enu /passive /quiet
コンピューターの再起動を強制せずにセキュリティ更新プログラムをインストールするには、Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 の次のコマンド ラインを使用します。
Windows2000-kb828749-x86-enu /norestart
注: これらのスイッチを 1 つのコマンド ラインに結合できます。
ソフトウェア更新サービスでこのセキュリティ更新プログラムを展開する方法については、次の Microsoft Web サイトを参照してください。
</https:>https:
再起動の要件
このセキュリティパッチを適用した後、コンピュータを再起動する必要があります。
削除情報
このセキュリティ更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。
システム管理者は、Spuninst.exe ユーティリティを使用して、このセキュリティ更新プログラムを削除できます。 Spuninst.exe ユーティリティは %Windir%\$NTUninstall KB (キロバイト)828749$\Spuninst フォルダーにあり、次のセットアップ スイッチをサポートしています。
/?: インストール スイッチの一覧を表示します。
/u: 無人モードを使用します。
/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。
/z: インストールが完了したら再起動しないでください。
/q: Quiet モード (ユーザー操作なし) を使用します。
ファイル情報
この修正プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。
Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4:
日 | 時刻 | バージョン | サイズ | File Name |
---|---|---|---|---|
2003 年 10 月 2 日 | 22:53 | 5.00.2195.6862 | 96,528 | Wkssvc.dll |
更新プログラムのインストールの確認
コンピューターにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用します。 MB (メガバイト)SA の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。
320454 Microsoft Baseline Security Analyzer バージョン 1.1.1 を使用できます
次のレジストリ キーを確認することで、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP5\KB (キロバイト)828749\Filelist
注: 管理者または OEM が828749セキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。
その他の情報
受信確認
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
その他のセキュリティ更新プログラムの取得:
その他のセキュリティの問題の更新は、次の場所から入手できます。
- セキュリティ更新プログラムは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
- コンシューマー プラットフォームの更新は、Windows Update Web サイト
サポート:
- テクニカル サポートは、Microsoft 製品サポート サービス (1-866-PCSAFETY) から入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連するサポートに対する料金はかかりません。 Microsoft サポートに問い合わせる方法については、/https:>https を参照してください<。
セキュリティ リソース:
- Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。
- Microsoft ソフトウェア更新サービス: </https:>https:
- Microsoft Baseline Security Analyzer (MB (メガバイト)SA) の詳細: </https:>https:. を参照してくださいhttps://support.microsoft.com/default.aspx?scid=kb。EN-US;306460 MB (メガバイト)SA ツールで検出の制限があるセキュリティ更新プログラムの一覧。
- Windows Update カタログ: https://support.microsoft.com/default.aspx?scid=kb;EN-US;323166
- Windows Update: https://windowsupdate.microsoft.com
- Office Update: </https:>https:
ソフトウェア更新サービス (SUS):
Microsoft Software Update Services (SUS) を使用すると、管理者は、Windows 2000 および Windows Server™ 2003 ベースのサーバー、および Windows® 2000 Professional または Windows XP Professional を実行しているデスクトップ コンピューターに、最新の重要な更新プログラムとセキュリティ更新プログラムを迅速かつ確実に展開できます。
ソフトウェア更新サービスでこのセキュリティ更新プログラムを展開する方法については、次の Microsoft Web サイトを参照してください。
</https:>https:
Systems Management Server (SMS):
Systems Management Server では、このセキュリティ更新プログラムの展開に関するサポートを提供できます。 システム管理サーバーの詳細については、SMS Web サイトを参照してください。 SMS には、SMS 2.0 Software Update Services Feature Pack や SMS 2.0 管理istration Feature Packなど、セキュリティ更新プログラムの展開に管理者を支援するいくつかの追加ツールも用意されています。 SMS 2.0 ソフトウェア更新サービス機能パックは、Microsoft Baseline Security Analyzer と Microsoft Office 検出ツールを利用して、セキュリティ情報の修復を幅広くサポートします。 一部のソフトウェア更新プログラムでは、コンピューターの再起動後に管理者権限が必要になる場合があります。
注: SMS 2.0 ソフトウェア更新サービス機能パックのインベントリ機能は、特定のコンピューターの更新プログラムを対象とするために使用でき、SMS 2.0 管理istration Feature Pack の昇格された権限展開ツールをインストールに使用できます。 これにより、コンピューターの再起動後に Systems Management Server と管理者権限を使用して明示的なターゲット設定を必要とする更新プログラムに最適な展開が提供されます。
免責事項:
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン:
- V1.0 (2003 年 11 月 11 日): セキュリティ情報が公開されました
- V1.1 November 11, 2003: Windows 2000 のファイル マニフェストと再起動要件セクションを更新しました。
- V1.2 November 19, 2003: Windows XP セキュリティ更新プログラムに関連する更新された情報。
2014-04-18T13:49:36Z-07:00</https にビルド:>