Select the product you need help with
[MS02-052] Microsoft VM JDBC クラスの問題によりコードが実行される文書番号: 329077 - 対象製品 この記事は、以前は次の ID で公開されていました: JP329077 現象
Microsoft 仮想マシン (VM) は 32 ビット版の Microsoft Windows で動作します。Microsoft VM は、Windows および Internet Explorer のほとんどのバージョンに同梱されています。Microsoft VM の新しい更新プログラムがリリースされ、これによって 3 つのセキュリティ上の脆弱性が排除されます。それらの脆弱性を利用した攻撃の方法は、いずれも同じです。Web ページを作成し、それをサーバー上にホストするか、または HTML 形式の電子メールとしてユーザーに送信することによって、攻撃者がこの脆弱性を利用した攻撃を行う可能性があります。
1 番目の脆弱性は、JDBC (Java Database Connectivity) クラスに関連します。JDBC クラスは Java プログラムが多様なデータ ソースに接続してデータを利用できるようにします。これらのデータ ソースは、フラット ファイルから Microsoft SQL Server データベースなどにわたります。この脆弱性は、ユーザーのコンピュータ上で DLL を読み込み実行する要求を JDBC クラスが検証する方法に問題があるために発生します。JDBC クラスは、認証されたプログラムのみがこのような要求を行えるようにチェックを行いますが、特定の方法で意図的に不正な要求を生成することにより、このチェックを "騙す" ことができます。この結果、攻撃者はユーザーのコンピュータ上で任意の DLL を読み込み実行することが可能になります。 2 番目の脆弱性も JDBC クラスに関連しており、JDBC クラスのある機能が、入力されるハンドルを適切に検証しないために発生します。この問題の直接的な悪用の方法として、このような機能を呼び出す際に実際のハンドルの代わりとして無効なデータを入力することが考えられます。マイクロソフトでは、これを実行すると Internet Explorer が動作を停止することを確認しています。また、この問題を利用して、攻撃者がユーザーのセキュリティ コンテキストでコードを実行するデータを挿入する可能性があります。 3 番目の脆弱性は、Java アプリケーションによる XML のサポートを提供するクラスに関連します。このクラスでは多数のメソッドを公開しており、その中にはすべてのアプレットで使用できるメソッド以外に、信頼されるアプレットでの使用にのみ適しているメソッドもあります。しかし、このクラスはそれぞれの場合を適切に区別せず、それらのメソッドをすべてのアプレットで利用可能にします。この脆弱性によって悪用される可能性のある機能の中には、ユーザーのシステムでアプレットが任意の操作を事実上実行できるようになるものがあります。 解決方法
この問題を解決するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている更新プログラムをインストールします。
810030
(http://support.microsoft.com/kb/810030/EN-US/
)
MS02-069: Flaw in Microsoft VM May Compromise Windows
810030
(http://support.microsoft.com/kb/810030/JA/
)
[MS02-069] Microsoft VM の問題により システムが侵害される
この更新プログラムでは、レジストリに対して次の変更が行われます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF}
="Security Update for the Microsoft VM"
注 : Jview により表示されるバージョン番号に関係なく、上記のレジストリ キーはこの更新プログラムが正しくインストールされていることを示します。Msjava.dll ファイルは、この更新プログラムのインストール後も、バージョンは 5.00.3805.0000 のままです。
"ComponentID"="JAVAVM" "IsInstalled"=hex:01,00,00,00 "KeyFileName"="C:\\WINDOWS\\System32\\msjava.dll" "Version"="5,00,3807,0" 更新プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
日付 時刻 サイズ ファイル名
------------------------------------------
2002/02/18 07:38 2,678 Msjdbc.cer
2002/08/21 17:28 137,282 Msjdbc.zip
2002/08/16 09:57 10,957 Osp.zip
2002/08/21 17:28 24,824 Jdbcodbc.class 2002/08/21 17:28 800 Jdbcodbcboundcol.class 2002/08/21 17:28 1,119 Jdbcodbcboundparam.class 2002/08/21 17:28 848 Jdbcodbcbusyflag.class 2002/08/21 17:28 5,193 Jdbcodbccallablestatement.class 2002/08/21 17:28 8,347 Jdbcodbcconnection.class 2002/08/21 17:28 447 Jdbcodbcconnectioninterface.class 2002/08/21 17:28 28,036 Jdbcodbcdatabasemetadata.class 2002/08/21 17:28 710 Jdbcodbcdecimal.class 2002/08/21 17:28 6,096 Jdbcodbcdriver.class 2002/08/21 17:28 308 Jdbcodbcdriverattribute.class 2002/08/21 17:28 415 Jdbcodbcdriverinterface.class 2002/08/21 17:28 2,990 Jdbcodbcinputstream.class 2002/08/21 17:28 611 Jdbcodbclimits.class 2002/08/21 17:28 2,339 Jdbcodbcobject.class 2002/08/21 17:28 8,063 Jdbcodbcpreparedstatement.class 2002/08/21 17:28 912 Jdbcodbcpseudocol.class 2002/08/21 17:28 12,865 Jdbcodbcresultset.class 2002/08/21 17:28 615 Jdbcodbcresultsetinterface.class 2002/08/21 17:28 5,503 Jdbcodbcresultsetmetadata.class 2002/08/21 17:28 523 Jdbcodbcsqlwarning.class 2002/08/21 17:28 6,116 Jdbcodbcstatement.class 2002/08/21 17:28 1,451 Jdbcodbctimestamp.class 2002/08/21 17:28 566 Jdbcodbctypeinfo.class 2002/08/21 17:28 13,595 Odbcdef.class 2002/07/28 13:15 247 Accessdeniedexception.class 2002/07/28 13:15 243 Conversionexception.class 2002/07/28 13:15 1,033 Datasource.class 2002/07/28 13:15 746 Datasourcelistener.class 2002/07/28 13:15 253 Illegalargumentexception.class 2002/07/28 13:15 251 Notimplementedexception.class 2002/07/28 13:15 1,736 Oledbsimpleprovider.class 2002/07/28 13:15 1,123 Oledbsimpleproviderlistener.class 2002/07/28 13:15 384 Ospcomp.class 2002/07/28 13:15 261 Ospexception.class 2002/07/28 13:15 264 Ospfind.class 2002/07/28 13:15 304 Ospformat.class 2002/07/28 13:15 912 Ospmrshl.class 2002/07/28 13:15 286 Osprw.class 2002/07/28 13:15 260 Ospxfer.class 2002/07/28 13:15 368 __MIDL___MIDL_ITF_SIMPDATA_0000_0001.CLASS 状況詳細
この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS02-052.mspx
(http://www.microsoft.com/japan/technet/security/bulletin/MS02-052.mspx)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-011.mspx
(http://www.microsoft.com/japan/technet/security/bulletin/ms03-011.mspx)
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 329077
(http://support.microsoft.com/kb/329077/EN-US/
)
(最終更新日 2003-09-15) を基に作成したものです。
プロパティ文書番号: 329077 - 最終更新日: 2004年10月5日 - リビジョン: 8.4 この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
 |
先頭へ戻る
