小野寺です
今月は、事前通知でお伝えしていたとおり 計 4 件 (重要 4 件)を公開しました。
MS08-037 (DNS): DNS クライアントとサーバー双方に関する脆弱性です。DNS が悪用されると、正しいドメイン名への要求が、不正なサイトの IP アドレスに変換される事で、結果として本来意図しないサイトに誘導される危険があります。とはいえ、この脆弱性を悪用するのは余り容易ではないのですが、特に、DNS サーバー側が侵害されると被害が広範に及ぶ上気づきにくい事も多いため、注意したいとことろです。
MS08-038 (Windows Explorer): Windows エクスプローラに関するものです。Windwos Vista 以降のエクスプローラにある、いわゆるデスクトップサーチに関連するのですが、「保存された検索」という検索条件等を保存したファイルがあります。特別な細工をされた「保存された検索を開く事で、コードが実行される可能性があります。リモートでコードが実行される脆弱性ではありますが、悪用には、幾つかの条件とユーザー操作を必要とするため、重要としています。
MS08-039 (OWA): Exchange Server の機能のひとつである Outlook Web Acceess (OWA) に関するものです。 いわゆるクロスサイトの脆弱性になりますので、攻撃を受けるのは、Exchange Server 側ではなく、その利用者側となります。
MS08-040 (SQL): SQL Server の脆弱性です。基本的には、SQL Server 上で適切な権限で特定の DDL や関数を使用する事で、コードの実行や特権の昇格が行えます。SQL Server の脆弱性というと SQL スラマーを思い出してしましますが、スラマーの予期の様に UDP パケットを一方的に送信する事で悪用できるわけではなく、認証が発生しますので、広範な悪用は想像しにくいですね。
今回は、脆弱性よりも運用面で注意をする必要があります。SQL Server 7.0 は Microsoft Update にも対応しておらず、更新プログラムの適用が手作業で行われいた世代の製品ということもあり、適用漏れが発生しない様に注意が必要な製品となります。特に、アプリケーションの一部として展開されている MSDE は、利用者側も存在を認知していない可能性があり適用漏れの原因になりやすいと言えます。
企業内で、各 PC のインストール状況を確認する方法の一つとして、WMI を使った、SQL Server 関連のサービスを列挙するという方法があります。
—- スクリプトサンプル Set WMIService = GetObject(“winmgmts:” & “{impersonationLevel=Impersonate}!\\.\root\cimv2”)
Set ServicesCollection = WMIService.ExecQuery (“SELECT DisplayName, PathName FROM Win32_Service WHERE PathName like ‘%sqlservr.exe%’”)For Each Service in ServicesCollection
Wscript.Echo Service.DisplayName & " : " & Service.PathName
Next
—-
また、ユーザーが、ファイル検索でディスク上の sqlservr.exe を検索する方法でも存在は確認できます。あとは、各ファイルのファイルバージョンや製品バージョンを確認する事で対応の有無を確認する事が可能です。
今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blog でもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx