News 2002年12月24日 08:07 PM 更新

News Weekly Access Top10(2002年12月15日−12月21日)
“Windows Update”が暴露したXPの脆弱性

新OS「Windows XP」の普及元年だった2002年。“ブロードバンド時代のOS”の名にふさわしい自動更新機能が、自らの脆弱性を暴露する結果となった

News Weekly Top10 12月15日〜12月21日
1位 Windows XPとWinampから危険な調べ……?
2位 2002年の誇大宣伝トップ10
3位 CD-Rの「音」を考える:プレクスターに聞く「音の良いCD-Rドライブの作り方」
4位 メモリースティックがギガバイト到達へ
5位 特集 WISS2002レポート:人とマシンのインタフェースはどうなっていくのか?
6位 「200ドルPC」の時代がやって来た?
7位 2003年はこうなる――IDCが10大予測披露
8位 Netscape新版にも遮断機能、ポップアップ広告の今後は……?
9位 Microsoftの“2003年の宿題”トップ10
10位 LindowsOS、小売り開始
Weekly Top10 先週は、Windows XPとWinampの組み合わせでの脆弱性に関する記事が1位になった。この脆弱性を悪用すると、細工した音楽ファイルでターゲットPCを乗っ取れるという点に音楽業界が着目し、ファイル交換を阻止する手段として検討しているという。

 もともとこの脆弱性は、Windows XPの「Windows Shell の未チェックのバッファによりシステムが侵害される(MS02-072)」という問題に端を発している。マイクロソフトは先週12月19日、この件に関して修正のためのアップデートをユーザーに呼びかけている。「新しい更新をダウンロードする準備ができました」のメッセージに促され、アップデートを済ませたXPユーザーも多かったことだろう。


更新を促すWindows XPのポップアップメッセージ

 昨年末に登場した新OS「Windows XP」の普及元年となった2002年は、このポップアップメッセージを頻繁に見ることができた。だがその多くが、OSの機能アップよりも脆弱性を修正するものだったとは、Microsoft自身も予想しなかったのではないだろうか。

 マイクロソフトの技術情報サイト「Microsoft TechNet」でアナウンスされている、Windows Updateで更新可能なXPのセキュリティ問題は以下の通りだ(12月24日午後6時現在)。

更新日最大深刻度内容
2002/12/19緊急Windows Shell の未チェックのバッファによりシステムが侵害される
2002/12/19重要Windows WM_TIMER メッセージ処理の問題により、権限が昇格する
2002/12/19警告SMB 署名の問題により、グループ ポリシーが変更される
2002/12/19緊急Microsoft VM の問題により、システムが侵害される
2002/11/29XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
2002/11/28重要証明書確認の問題により、ID が偽装される
2002/11/11PPTP サービスの未チェックのバッファにより、サービス拒否の攻撃を受ける
2002/10/23Windows XP 「ヘルプとサポート センター」 の問題によりファイルが削除される
2002/10/22Smart HTML インタープリタでバッファオーバーランによりコードが実行される
2002/10/16ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される
2002/10/15Windows ヘルプ機能の未チェックのバッファにより、コードが実行される
2002/09/30Microsoft VM JDBC クラスの問題により、コードが実行される
2002/09/27RDP プロトコルの暗号の問題により、情報が漏えいされる
2002/09/09Certificate Enrollment Control の問題により、デジタル証明書が削除される
2002/09/02ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる
2002/08/21VM用の累積的な修正プログラム
2002/07/04リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される
2002/05/04SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される
2002/05/01Multiple UNC Provider の未チェックのバッファによりコードが実行される
2002/03/20不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する
2002/01/09UPnPに含まれる未チェックのバッファによりシステムが侵害される
2001/11/21無効なUPnPのリクエストがシステムのオペレーションを妨害する

 同社は今年11月に、深刻度の評価システムをそれまでの「高/中/低」から「緊急/重要/警告/注意」に変更しているが、“緊急”/“重要”は従来の“高”に相当する。昨年11月のXP発売から計22件の脆弱性がWindows Updateによって更新されたが、その半分以上が深刻度「緊急/重要(高)」の“危険な脆弱性”だったわけだ。

 XP以前のWindowsでは、ユーザーが意識的に「Windows Update」を選択してダウンロードするという方法だった。“ブロードバンド時代のOS”をうたうWindows XPは、近年増えている常時接続環境を生かして、最新のアップデートファイルを自動的にダウンロードし、インストールの準備が整った段階でユーザーに通知する「自動更新」機能が“売り”の1つとなっていた。

 確かに今年、この新機能はよく働いたと言えそうだ。特に後半は、アップデートを促すメッセージは毎月数回という高頻度で現れた計算。それが、自らの脆弱性を暴露するものであったのは、皮肉な話というしかないが……。

[西坂真人, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -