2008 年 7 月のセキュリティ情報

2008年07月度のMicrosoftセキュリティ情報が出ました、予告どおり重要4件です。

セキュリティ情報ID番号マイクロソフトセキュリティ情報 MS08-037

タイトル DNS の脆弱性により、なりすましが行われる (953230)

概要このセキュリティ更新プログラムは非公開で報告された Windows ドメインネームシステム (DNS) に存在する 2 つの脆弱性を解決します。これらの脆弱性により、なりすましが行われる可能性があります。これらの脆弱性は DNS クライアントと DNS サーバーの両方に存在し、リモートの攻撃者は攻撃者のインターネット上のコンピュータに向いたネットワークトラフィックを攻撃者のコンピュータにリダイレクトする可能性があります。

最大深刻度重要

脆弱性の影響なりすまし

検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。

影響を受けるソフトウェア Microsoft Windows. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID 番号マイクロソフトセキュリティ情報 MS08-038

タイトル Windows エクスプローラの脆弱性により、リモートでコードが実行される (950582)

概要このセキュリティ更新プログラムは、特別な細工がされた保存された検索ファイルが開かれ、保存された場合、リモートでコードが実行される可能性のある Windows エクスプローラに存在する一般に公開された脆弱性を解決します。ユーザーが管理者ユーザー権限でログオンしている場合、この脆弱性が悪用されると、攻撃者により影響を受けるコンピュータが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピュータのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

最大深刻度重要

脆弱性の影響リモートでコードが実行される

検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。

影響を受けるソフトウェア Microsoft Windows. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID 番号マイクロソフトセキュリティ情報 MS08-039

タイトル Exchange Server の Outlook Web Access の脆弱性により、特権の昇格が起こる (953747)

概要このセキュリティ更新プログラムは非公開で報告された 2 件の Microsoft Exchange Server の Outlook Web Access (OWA) の脆弱性を解決します。攻撃者がこれらの脆弱性を悪用した場合、OWA の各クライアントのセッションデータへのアクセス権を取得し、特権を昇格する可能性があります。その後、攻撃者は各クライアントの OWA セッションでユーザーが実行可能なすべての動作を実行する可能性があります。

最大深刻度重要

脆弱性の影響特権の昇格

検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。

影響を受けるソフトウェア Microsoft Exchange Server. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID番号マイクロソフトセキュリティ情報 MS08-040

タイトル Microsoft SQL Server の脆弱性により、特権が昇格される (941203)

概要このセキュリティ更新プログラムは、非公開で報告された 4 件の脆弱性を解決します。この脆弱性により、攻撃者がコードを実行し、コンピュータが完全に制御される可能性があります。認証された攻撃者は、プログラムのインストール、データの表示、変更、削除、または完全な管理者権限を持つ新たなアカウントを作成する可能性があります。

最大深刻度重要

脆弱性の影響特権の昇格

検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。

影響を受けるソフトウェア Microsoft Windows, Microsoft SQL Server. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms08-jul.mspx

セキュリティ情報ID番号	マイクロソフトセキュリティ情報 MS08-037
タイトル	DNS の脆弱性により、なりすましが行われる (953230)
概要	このセキュリティ更新プログラムは非公開で報告された Windows ドメインネームシステム (DNS) に存在する 2 つの脆弱性を解決します。これらの脆弱性により、なりすましが行われる可能性があります。これらの脆弱性は DNS クライアントと DNS サーバーの両方に存在し、リモートの攻撃者は攻撃者のインターネット上のコンピュータに向いたネットワークトラフィックを攻撃者のコンピュータにリダイレクトする可能性があります。
最大深刻度	重要
脆弱性の影響	なりすまし
検出	Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。
影響を受けるソフトウェア	Microsoft Windows. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID 番号	マイクロソフトセキュリティ情報 MS08-038
タイトル	Windows エクスプローラの脆弱性により、リモートでコードが実行される (950582)
概要	このセキュリティ更新プログラムは、特別な細工がされた保存された検索ファイルが開かれ、保存された場合、リモートでコードが実行される可能性のある Windows エクスプローラに存在する一般に公開された脆弱性を解決します。ユーザーが管理者ユーザー権限でログオンしている場合、この脆弱性が悪用されると、攻撃者により影響を受けるコンピュータが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピュータのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
最大深刻度	重要
脆弱性の影響	リモートでコードが実行される
検出	Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。
影響を受けるソフトウェア	Microsoft Windows. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID 番号	マイクロソフトセキュリティ情報 MS08-039
タイトル	Exchange Server の Outlook Web Access の脆弱性により、特権の昇格が起こる (953747)
概要	このセキュリティ更新プログラムは非公開で報告された 2 件の Microsoft Exchange Server の Outlook Web Access (OWA) の脆弱性を解決します。攻撃者がこれらの脆弱性を悪用した場合、OWA の各クライアントのセッションデータへのアクセス権を取得し、特権を昇格する可能性があります。その後、攻撃者は各クライアントの OWA セッションでユーザーが実行可能なすべての動作を実行する可能性があります。
最大深刻度	重要
脆弱性の影響	特権の昇格
検出	Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。
影響を受けるソフトウェア	Microsoft Exchange Server. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

セキュリティ情報 ID番号	マイクロソフトセキュリティ情報 MS08-040
タイトル	Microsoft SQL Server の脆弱性により、特権が昇格される (941203)
概要	このセキュリティ更新プログラムは、非公開で報告された 4 件の脆弱性を解決します。この脆弱性により、攻撃者がコードを実行し、コンピュータが完全に制御される可能性があります。認証された攻撃者は、プログラムのインストール、データの表示、変更、削除、または完全な管理者権限を持つ新たなアカウントを作成する可能性があります。
最大深刻度	重要
脆弱性の影響	特権の昇格
検出	Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピュータに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。
影響を受けるソフトウェア	Microsoft Windows, Microsoft SQL Server. 詳細情報は、下記のリンクの事前通知の Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

July 2008 black tuesday overview

MS08-038のクライアントがCritical
MS08-039、MS08-039のサーバがCriticalになっていますね。

InfoSec Handlers Diary Blog - July 2008 black tuesday overview

Microsoft Windows 悪意のあるソフトウェアの削除ツールがバージョン２になったため、ライセンス条項がでているそうです。

バージョン : 2.0
# 先月(６月)は Windows-KB890830-V1.42.exe バージョン : 1.42 だったので、バージョン管理が変わった？
これにともなって、ライセンス条項の同意画面がでますね。カスタムでチャチャと済ましてしまったほうがいいのかも。
Microsoft Update の日 - 脳脂肪のパクリメモ

悪用するのは容易ではないようです。

MS08-037 (DNS): DNS クライアントとサーバー双方に関する脆弱性です。DNSが悪用されると、正しいドメイン名への要求が、不正なサイトのIPアドレスに変換される事で、結果として本来意図しないサイトに誘導される危険があります。とはいえ、この脆弱性を悪用するのは余り容易ではないのですが、特に、DNSサーバー側が侵害されると被害が広範に及ぶ上気づきにくい事も多いため、注意したいとことろです。
http://blogs.technet.com/jpsecurity/archive/2008/07/09/3085853.aspx

sqlsvr.exeのインストール状況を確認する方法を出されていますが、結構いろいろなもので入っちゃうってことなんですよねぇ。

企業内で、各PCのインストール状況を確認する方法の一つとして、WMI を使った、SQL Server関連のサービスを列挙するという方法があります。

---- スクリプトサンプル
Set WMIService = GetObject("winmgmts:" & "{impersonationLevel=Impersonate}!\\.\root\cimv2")
Set ServicesCollection = WMIService.ExecQuery ("SELECT DisplayName, PathName FROM Win32_Service WHERE PathName like '%sqlservr.exe%'")

For Each Service in ServicesCollection
Wscript.Echo Service.DisplayName & " : " & Service.PathName
Next
----

また、ユーザーが、ファイル検索でディスク上の sqlservr.exe を検索する方法でも存在は確認できます。あとは、各ファイルのファイルバージョンや製品バージョンを確認する事で対応もの有無を確認する事が可能です。
http://blogs.technet.com/jpsecurity/archive/2008/07/09/3085853.aspx

数年ぶりのSQLサーバのセキュリティパッチですが、いろいろな不具合対応のロールアップにもなっているとのこと。

なお、この修正プログラムには、脆弱性への対処だけでなく、多くの不具合への対応が含まれています。
現在、どの修正が含まれているのかを確認中ですので、わかり次第ご報告させていただく予定です。
http://blogs.sqlpassj.org/yoshihirokawabata/archive/2008/07/09/25323.aspx

関連URL

US-CERT Current Activity

US-CERT Technical Cyber Security Alert TA08-190A -- Microsoft Updates for Multiple Vulnerabilities

Security Vulnerability Research & Defense : MS08-040: How to spot MTF files crossing network boundary

Security Vulnerability Research & Defense : MS08-039: Which users are vulnerable to the OWA XSS vulnerability?

Microsoft Windows DNS Spoofing Vulnerabilities - Advisories - Secunia

Microsoft Windows Explorer Saved Search Vulnerability - Advisories - Secunia

Microsoft Outlook Web Access Script Insertion Vulnerabilities - Advisories - Secunia

Microsoft SQL Server and MSDE Multiple Vulnerabilities - Advisories - Secunia

Security Vulnerability Research & Defense : MS08-037 : More entropy for the DNS resolver

July 2008 - Microsoft Releases 4 Security Advisories

マイクロソフト、2008年7月の月例パッチを公開--重要レベルのパッチが4件：ニュース - ZDNet Japan

マイクロソフト、2008年7月の月例パッチを公開--重要レベルのパッチが4件:ニュース - CNET Japan

Microsoft Patch Tuesday for July 2008 - Vulnerabilities & Exploits - STN Peer-to-Peer Discussion Forums

4件の情報を公開：MSの月例パッチ公開、Vista自動実行の脆弱性などに対処 - ITmedia エンタープライズ

@police-マイクロソフト社のセキュリティ修正プログラムについて(MS08-037,038,039,040)(7/9)

マイクロソフト、7月の月例パッチ4件を公開

マイクロソフト、7月の月例パッチ4件を公開

JVNTA08-190A: Microsoft 製品における複数の脆弱性に対するアップデート

7月のマイクロソフトセキュリティ更新を確認する

Microsoft、7月の月例更新で4件のセキュリティ情報を公開 - japan.internet.com Webテクノロジー

SecuriTeam"! - Microsoft SQL Server Restore Integer Underflow Vulnerability (MS08-040)

SecuriTeam"! - Vulnerabilities in Microsoft SQL Server Allows Elevation of Privilege (MS08-040)

SecuriTeam"! - Vulnerabilities in Outlook Web Access for Exchange Server Allows Elevation of Privilege (MS08-039)

SecuriTeam"! - Vulnerability in Windows Explorer Allows Code Execution (MS08-038)

SecuriTeam"! - Vulnerabilities in DNS Allows Spoofing (MS08-037)

Microsoft Updates for July - PandaLabs

Windowsなどに脆弱性発覚、なりすましやプログラム実行を許す恐れ：ニュース

DNS and SQL Updates - F-Secure Weblog : News from the Lab