Virtual PC for Mac の脆弱性により、権限が昇格する (835150) (MS04-005) (Microsoft)
最大深刻度:重要
対象(修正プログラムを適用可能なサービスパック):
- Microsoft Virtual PC for Mac Version 6.0 / 6.01 / 6.02 / 6.1
対策:修正プログラムの適用。
概要:
- Virtual PC for Mac が実行時に作成する一時ファイルを検証しない。この一時ファイルに任意のコードを挿入することで、システム レベルの特権で任意のコードを実行可能。ただし、この脆弱性を利用するためにはVirtual PC for Macを実行するコンピュータに対話的ログオンしなければならない。
注意事項:
その他:
- 修正プログラムの適用により、バージョン番号が 6.1.1 になる。
関連:
- 絵でみるセキュリティ情報 MS04-005 : Virtual PC for Mac の重要な更新(Microsoft)
- セキュリティ情報 for Mobile(Microsoft)
- マイクロソフト セキュリティ情報: (MS04-005) : よく寄せられる質問(Microsoft)
- MS04-005 : Vulnerability in Virtual PC for Mac could lead to privilege elevation (835150)(Microsoft)
- マイクロソフト サポート技術情報 - 835150:[VPC6M] [MS04-005] Virtual PC for Mac の脆弱性により、権限が昇格する(Microsoft)(2004/02/12追記)
- CAN-2004-0115(CVE)
- Virtual PC Services Insecure Temporary File Creation(@stake)(2004/02/12追記)
Windows インターネット ネーム サービス (WINS) の脆弱性により、コードが実行される (830352) (MS04-006)(Microsoft)
最大深刻度:重要
対象(修正プログラムを適用可能なサービスパック):
- Windows NT Server 4.0 (SP6a)
- Windows NT Server 4.0 TSE (SP6)
- Windows 2000 Server ( SP2 / SP3 / SP4 )
- Windows Server 2003 ( Gold )
- Windows Server 2003 64-bit Edition ( Gold )
対策:修正プログラムの適用。Windows Update による適用可能。
概要:
- WINSがパケットの長さを検証する方法に問題がある。Windows Server 2003 では、セキュリティ機能がバッファ オーバーランを検知してWINSを強制的に終了させる。結果としてサービス拒否状態となる。Windows NT / 2000 では、特別なパケットを拒否するためサービス拒否にならない。
注意事項:
その他:
関連:
- 絵でみるセキュリティ情報 MS04-006 : Windows の重要な更新(Microsoft)
- セキュリティ情報 for Mobile(Microsoft)
- マイクロソフト セキュリティ情報: (MS04-006) : よく寄せられる質問(Microsoft)
- MS04-006:Vulnerability in the Windows Internet Naming Service (WINS) Could Allow Code Execution (830352)(Microsoft)
- マイクロソフト サポート技術情報 - 830352:[MS04-006] Windows インターネット ネーム サービス (WINS) の脆弱性により、コードが実行される(Microsoft)(2004/02/12追記)
- CAN-2003-0825(CVE)
■
手元のWindows XP SP1 のPCでWindows Updateを試みたのですが、MS04-007をピックアップしないですね。Automatic UpdatesとRemote Registryの両サービスをためしに動かしたら出てきました。Windows Updateには直接関連しないと思っていたのですが認識違いかな。Windows Updateで検出できない状態でもMBSA 1.2でチェックしたところちゃんと検出できたし。
ご指摘のとおりにタイミングの問題かなぁ。
ASN .1 の脆弱性により、コードが実行される (828028) (MS04-007)(Microsoft)
最大深刻度:緊急
対象(修正プログラムを適用可能なサービスパック):
- Windows NT 4.0 ( SP6a )
- Windows NT 4.0 TSE ( SP6 )
- Windows 2000 ( SP2 / SP3 / SP4 )
- Windws XP ( Gold / SP1 )
- Windows Server 2003 ( Gold )
対策:修正プログラムの適用。Windows Update による適用可能。
概要:
注意事項:
その他:
- Windows NT 4.0 では 脆弱性のあるファイル(msasn1.dll)が規定でインストールされない。MS03-041の修正プログラムやセキュリティー関連外の修正プログラムとしてインストールされる。
関連:
- 絵でみるセキュリティ情報 MS04-007 : Windows の重要な更新(Microsoft)
- セキュリティ情報 for Mobile(Microsoft)
- マイクロソフト セキュリティ情報: (MS04-007) : よく寄せられる質問(Microsoft)
- MS04-007:ASN.1 Vulnerability Could Allow Code Execution (828028)(Microsoft)
- マイクロソフト サポート技術情報 - 828028:[MS04-007] ASN.1 の脆弱性により、コードが実行される(Microsoft)(2004/02/12追記)
- CAN-2003-0818(CVE)
- Microsoft ASN.1 Library Length Overflow Heap Corruption(eEye)
- マイクロソフト サポート技術情報 - 252648 [XGEN] ASN.1 および BER の簡単な紹介(Microsoft)
- Windows 脆弱性 MS04-007(ASN.1 バイナリ変換規則 (BER))(オホーツクに消ゆさん経由)(2004/02/12追記)
- Microsoft ASN.1 の整数操作における複数の脆弱点(ISSKK)(2004/02/12追記)
- Microsoft Windows ASN.1 Remote DoS Exploit (MS04-007)(K-Otik)(2004/02/16追記)
- Microsoft ASN.1 Library の脆弱性に関する注意喚起(JPCERT/CC)
「なぜ吉野家に牛丼ない」と暴れる 容疑の男を逮捕(asahi.com)
運転手は「(牛丼販売が中止になることは)知らなかった。当然、食べられると思ったのに」と話しているという。
ニュース番組ぐらい見ましょう。
Windowsにとても危険なセキュリティ・ホール,仕事前にまずは対策を(IT Pro)
月刊Windows Update 2004年2月号に関する記事。