特に重要なセキュリティ欠陥・ウイルス情報

Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に重大な欠陥が発見されました。Windows が .lnk ファイル（ショートカットファイル）を操作する方法に欠陥があり、攻略 .lnk ファイルが、エクスプローラなどの「アイコンを表示するファイルマネージャー」に表示されるだけで、ウイルスに感染するなどの被害が発生する恐れがあります。

• マイクロソフト セキュリティ アドバイザリ (2286198) Windows シェルの脆弱性により、リモートでコードが実行される (Microsoft)

この欠陥を利用する攻撃は既に行われています。また、この欠陥を利用する攻撃が今後増加すると予想されます。

• スパイ攻撃がLNKショートカットファイルを使用 (エフセキュアブログ)

修正プログラムはまだありません。次の対抗策を取ってください。

• 龍大標準のアンチウイルスソフト VirusScan Enterprise 8.7i patch 3 をインストールし、Artemisテクノロジーを「低」に設定してください。詳細については、マカフィー VirusScan 関連ドキュメントを参照してください。（学内からしか参照できません）
• 可能であれば、ショートカットアイコンの表示を無効にする設定を行ってください。方法については マイクロソフト セキュリティ アドバイザリ (2286198) を参照してください。この対抗策の効果は極めて大きいと考えられますが、実施すると、全てのショートカットアイコンがまっ白になるので注意してください。
• 可能であれば、WebClient サービスを無効にしてください。方法については マイクロソフト セキュリティ アドバイザリ (2286198) を参照してください。ただし、この対抗策の効果は限定的だと考えられます。また、実施すると、WebDAV が使えなくなります。

関連キーワード: Windows

2010.07.24 追記

Microsoft から、「ショートカットアイコンの表示を無効にする設定」を簡単に実施できるツール (Microsoft Fix it) が公開されました。ダウンロード後、実行してください。

• Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution (Microsoft)
• 設定を行う: Microsoft Fix it 50486 (Microsoft)
• 設定を解除する: Microsoft Fix it 50487 (Microsoft)

確実な効果が期待できるため、ぜひ設定して頂きたいのですが、副作用に注意する必要があります。具体的には、スタートメニューやクイック起動のショートカットアイコンがまっ白になってしまいます。以下に Windows Vista での事例を示します。

設定前	設定後

この他にも、デスクトップ上のショートカットアイコンもまっ白になることがあるようです。

このように、対抗策に副作用があり、適用しづらいのは事実なのですが、一方で、たいへんに危険な欠陥であることも確かです。セキュリティ関連企業 LAC が、この欠陥の危険性と、Microsoft Fix it による効果を示すビデオを公開しています。ぜひご覧になってください。

Web ページにアクセスしただけで、あるいはエクスプローラでリムーバブルディスク（USB メモリや可搬型ハードディスクなど）を参照しただけで、プログラムが起動されてしまう事例が紹介されています。ビデオでは電卓が起動されていましたが、実際の攻撃ではウイルスが起動されることになります。

この欠陥を悪用するウイルスの感染を予防するために、Microsoft Fix it の実施を強く推奨します。

2010.08.01 追記

Microsoft から、2010.08.03 に定例外で修正プログラムを配布する予定であるとアナウンスされました。

• マイクロソフト セキュリティ情報の事前通知 - 2010 年 8 月 (定例外) (Microsoft)

修正プログラムを適用するまでは、Microsoft Fix it による回避策を実施してください。

2010.08.03 追記

修正プログラムが公開されました。

• MS10-046 - 緊急: Windows シェルの脆弱性により、リモートでコードが実行される (2286198) (Microsoft)

Microsoft Update などを利用して適用して下さい。適用後は再起動が必要となります。また Microsoft Fix it による回避策を実施している場合は、修正プログラムの適用後に、回避策を解除するための Fix it を実行して下さい。

• Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution (Microsoft)
• 設定を解除する: Microsoft Fix it 50487 (Microsoft)

IIS 5.0 / 5.1 / 6.0 で WebDAV を利用する場合、WebDAV で管理されているファイルにアクセスするには、通常は認証 (ユーザ名、パスワード) が必要です。しかし IIS には欠陥があり、認証画面を回避できてしまうことが明らかとなりました。IIS 5.0 / 5.1 / 6.0 で WebDAV が有効になっている場合、そのサーバ上のファイルは、実際には誰でもダウンロードしたりアップロードしたりできてしまうのです。

• マイクロソフト セキュリティ アドバイザリ (971492) インターネット インフォメーション サービスの脆弱性により、特権が昇格される (Microsoft)

以下の点に注意して下さい。

• IIS 5.0 / 5.1 では標準で WebDAV が動作しており、特に危険です。IIS 6.0 では、標準では WebDAV は動作していません。
• この欠陥は IIS 7.0 (Windows Server 2008) にはありません。
• 認証を回避してアクセスする場合、「匿名ユーザー アカウント」としてアクセスします。したがって、「匿名ユーザー アカウント」によるアクセスを拒否するような設定のなされたファイルやフォルダであれば、この欠陥を利用する者にはアクセスできません。

この欠陥の修正プログラムは現在開発中です。修正されるまでは、IIS 5.0 / 5.1 / 6.0 で WebDAV を利用する場合は、IP アドレスに基づくアクセス制限を施すなどの設定を行う事を強く推奨します。

関連キーワード: IIS, WebDAV

2009.06.10 追記

MS09-020 - 重要: インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483) で修正されました。

Microsoft から、月例のセキュリティ修正プログラムが公開されました。

• 2008 年 2 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は、次の 11 種類です。Office や Office for Mac、Visual Basic の修正も含まれているので注意してください。

• 緊急（6件）
  • MS08-007 - WebDAV Mini-Redirector の脆弱性により、リモートでコードが実行される (946026)
    対象: Windows XP / Server 2003 / Vista gold (Service Pack なし)
  • MS08-008 - OLE オートメーションの脆弱性により、リモートでコードが実行される (947890)
    対象: Windows 2000 / XP / Server 2003 / Vista gold、Office 2004 for Mac、Visual Basic 6.0 SP6
  • MS08-009 - Microsoft Word の脆弱性により、リモートでコードが実行される (947077)
    対象: Office 2000 / XP / 2003 SP2、Word Viewer 2003
  • MS08-010 - Internet Explorer 用の累積的なセキュリティ更新プログラム (944533)
    対象: IE 5.01 / 6 / 7
  • MS08-012 - Microsoft Office Publisher の脆弱性により、リモートでコードが実行される (947085)
    対象: Office 2000 / XP / 2003 SP2
  • MS08-013 - Microsoft Office の脆弱性により、リモートでコードが実行される (947108)
    対象: Office 2000 / XP / 2003 SP2、Office 2004 for Mac

• 重要（5件）
  • MS08-003 - Active Directory の脆弱性により、サービス拒否が起こる (946538)
    対象: Windows 2000 Server / XP / Server 2003
  • MS08-004 - Windows TCP/IP の脆弱性により、サービス拒否が起こる (946456)
    対象: Windows Vista
  • MS08-005 - インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる (942831)
    対象: Windows 2000 / XP / Server 2003 / Vista Gold
  • MS08-006 - インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (942830)
    対象: Windows XP / Server 2003
  • MS08-011 - Microsoft Works ファイル コンバータ の脆弱性により、リモートでコードが実行される (947081)
    対象: Office 2003 SP2 / SP3, Works 8.0, Works Suite 2005

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。 再起動を促された場合には、再起動してください。RINS の複数の機械にインストールしてみた限りでは、不具合はないようです。

なお、

• Office 2004 for Mac の修正プログラムは、個別にダウンロードして適用する必要があるので注意してください。
• Office 2000 の修正プログラムは Office Update を利用するか、個別にダウンロードして適用する必要があるので注意してください。

また上記にあわせて、Internet Explorer 7 の自動ダウンロード・インストールが開始されています。

• 2008年2月13日より自動更新機能による Windows Internet Explorer 7 の配布開始 (Microsoft)
• Windows Internet Explorer 7: 自動更新インストールのお知らせ (Microsoft)

Internet Explorer 7 をインストールしたくない場合は、次のリンクを参照して下さい。

• Internet Explorer 7 のリリース後も Internet Explorer 6 のサポートを継続します (Microsoft)