| News | 2002年12月24日 08:07 PM 更新 |
News Weekly Access Top10(2002年12月15日−12月21日)
“Windows Update”が暴露したXPの脆弱性
新OS「Windows XP」の普及元年だった2002年。“ブロードバンド時代のOS”の名にふさわしい自動更新機能が、自らの脆弱性を暴露する結果となった
|
|||
| 1位 | Windows XPとWinampから危険な調べ……? | ||
| 2位 | 2002年の誇大宣伝トップ10 | ||
| 3位 | CD-Rの「音」を考える:プレクスターに聞く「音の良いCD-Rドライブの作り方」 | ||
| 4位 | メモリースティックがギガバイト到達へ | ||
| 5位 | 特集 WISS2002レポート:人とマシンのインタフェースはどうなっていくのか? | ||
| 6位 | 「200ドルPC」の時代がやって来た? | ||
| 7位 | 2003年はこうなる――IDCが10大予測披露 | ||
| 8位 | Netscape新版にも遮断機能、ポップアップ広告の今後は……? | ||
| 9位 | Microsoftの“2003年の宿題”トップ10 | ||
| 10位 | LindowsOS、小売り開始 | ||
先週は、Windows XPとWinampの組み合わせでの脆弱性に関する記事が1位になった。この脆弱性を悪用すると、細工した音楽ファイルでターゲットPCを乗っ取れるという点に音楽業界が着目し、ファイル交換を阻止する手段として検討しているという。
もともとこの脆弱性は、Windows XPの「Windows Shell の未チェックのバッファによりシステムが侵害される(MS02-072)」という問題に端を発している。マイクロソフトは先週12月19日、この件に関して修正のためのアップデートをユーザーに呼びかけている。「新しい更新をダウンロードする準備ができました」のメッセージに促され、アップデートを済ませたXPユーザーも多かったことだろう。
更新を促すWindows XPのポップアップメッセージ
昨年末に登場した新OS「Windows XP」の普及元年となった2002年は、このポップアップメッセージを頻繁に見ることができた。だがその多くが、OSの機能アップよりも脆弱性を修正するものだったとは、Microsoft自身も予想しなかったのではないだろうか。
マイクロソフトの技術情報サイト「Microsoft TechNet」でアナウンスされている、Windows Updateで更新可能なXPのセキュリティ問題は以下の通りだ(12月24日午後6時現在)。
| 更新日 | 最大深刻度 | 内容 |
| 2002/12/19 | 緊急 | Windows Shell の未チェックのバッファによりシステムが侵害される |
| 2002/12/19 | 重要 | Windows WM_TIMER メッセージ処理の問題により、権限が昇格する |
| 2002/12/19 | 警告 | SMB 署名の問題により、グループ ポリシーが変更される |
| 2002/12/19 | 緊急 | Microsoft VM の問題により、システムが侵害される |
| 2002/11/29 | 高 | XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる |
| 2002/11/28 | 重要 | 証明書確認の問題により、ID が偽装される |
| 2002/11/11 | 高 | PPTP サービスの未チェックのバッファにより、サービス拒否の攻撃を受ける |
| 2002/10/23 | 中 | Windows XP 「ヘルプとサポート センター」 の問題によりファイルが削除される |
| 2002/10/22 | 高 | Smart HTML インタープリタでバッファオーバーランによりコードが実行される |
| 2002/10/16 | 中 | ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される |
| 2002/10/15 | 高 | Windows ヘルプ機能の未チェックのバッファにより、コードが実行される |
| 2002/09/30 | 高 | Microsoft VM JDBC クラスの問題により、コードが実行される |
| 2002/09/27 | 中 | RDP プロトコルの暗号の問題により、情報が漏えいされる |
| 2002/09/09 | 高 | Certificate Enrollment Control の問題により、デジタル証明書が削除される |
| 2002/09/02 | 中 | ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる |
| 2002/08/21 | 高 | VM用の累積的な修正プログラム |
| 2002/07/04 | 高 | リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される |
| 2002/05/04 | 中 | SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される |
| 2002/05/01 | 中 | Multiple UNC Provider の未チェックのバッファによりコードが実行される |
| 2002/03/20 | 低 | 不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する |
| 2002/01/09 | 高 | UPnPに含まれる未チェックのバッファによりシステムが侵害される |
| 2001/11/21 | 低 | 無効なUPnPのリクエストがシステムのオペレーションを妨害する |
同社は今年11月に、深刻度の評価システムをそれまでの「高/中/低」から「緊急/重要/警告/注意」に変更しているが、“緊急”/“重要”は従来の“高”に相当する。昨年11月のXP発売から計22件の脆弱性がWindows Updateによって更新されたが、その半分以上が深刻度「緊急/重要(高)」の“危険な脆弱性”だったわけだ。
XP以前のWindowsでは、ユーザーが意識的に「Windows Update」を選択してダウンロードするという方法だった。“ブロードバンド時代のOS”をうたうWindows XPは、近年増えている常時接続環境を生かして、最新のアップデートファイルを自動的にダウンロードし、インストールの準備が整った段階でユーザーに通知する「自動更新」機能が“売り”の1つとなっていた。
確かに今年、この新機能はよく働いたと言えそうだ。特に後半は、アップデートを促すメッセージは毎月数回という高頻度で現れた計算。それが、自らの脆弱性を暴露するものであったのは、皮肉な話というしかないが……。
[西坂真人, ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。