Windows 2000 イベント ビューアにアンチェックド バッファが存在する件

この記事は、以前は次の ID で公開されていました: JP285156
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Windows 2000 に標準で搭載されているイベント ビューア スナップインでは、イベント レコードの詳細を表示するコード セクションにアンチェックド バッファが存在します。
現象
イベント レコードのいずれかのフィールドに、改ざんされた無効なデータが含まれている場合、イベント ビューアで該当するレコードを表示すると、次に述べる現象が発生することがあります。
  • イベント ビューアが停止する。
  • 悪意のユーザーが、バッファ オーバーランを意図的に利用して、悪意のあるコードを実行することができる。
特権のないプロセスは、イベント ログのうちシステム ログとアプリケーション ログをとることができます。また、対話的にログオンした特権のないユーザーは、これらのログを表示することが可能です。しかし、イベント ログのうちセキュリティ ログをとることができるのは、特権を持つプロセスに限られます。また、セキュリティ ログを表示することができるのは、対話的にログオンした管理者権限のあるユーザーに限られています。
しかし、悪意のユーザーがこの脆弱性を利用し、悪意のあるコードが実行された場合、そのコードは、該当するレコードを表示したユーザーのセキュリティ コンテキストで実行されてしまいます。

留意点

  • 単にログに記録されているイベントの一覧を表示させるだけでは、この脆弱性による攻撃を受けることはありません。この脆弱性は、ユーザーが該当するレコードを開いて、イベントの詳細を表示した場合にのみ利用可能となります。
  • 特権を持たないユーザーでも、システム ログおよびアプリケーション ログを読み取ることができます。セキュリティ ログは、特権を持つユーザーだけが読み取ることができますが、それに書き込めるのは特権を持つプロセスだけです。このため、誰でもこの脆弱性を利用して、悪意のあるコードを実行することができるとは言えません。
  • 弊社が調査した範囲では、Windows 2000 サービスの、通常の監査機能を操作するだけでは、この脆弱性を利用するイベント レコードを作成することはできませんでした。このようなレコードを作成するためには、カスタム コードを開発して、実行する必要があります。
  • ファイアウォールなどによる対策を適切に講じている場合は、認証されたユーザーにのみ、ネットワーク コンピュータへのアクセス権を与え、イベント ログ レコードへの書き込みを許すことができます。
解決方法
弊社では、この問題に対応する修正プログラムを提供しています。しかし、この修正プログラムは、本問題を修正するためだけに開発されたもので、広範なテストの対象となっていません。この修正プログラムは、この問題を利用した攻撃を受ける恐れがあると判断したシステムにのみ適用してください。弊社では、この問題の詳細について説明したマイクロソフト セキュリティ情報を参照して、この修正プログラムを適用するかどうか検討することをお勧めいたします。システムが直面している危険性が大きくない場合は、この修正プログラムを含む、最新の Windows 2000 Service Pack をご利用ください。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、弊社サポート窓口にお問い合わせください。なお、弊社サポート窓口の電話番号一覧と、サポート料金については、次の Web ページを参照してください。

注 :お客様の問題を解決するために、特定の修正プログラムを適用する必要があると弊社のサポート エンジニアが判断する場合があります。この場合は、サポート料金を免除させていただくことがあります。しかしながら、この場合でも、特定の修正プログラムの対象とならない追加のご質問および問題をお寄せいただいたときは、規定のサポート料金をご請求させていただきます。

下記のファイル (日本語版) は、マイクロソフト ダウンロード センターからダウンロードして入手することが可能です。次のファイル名をクリックして、ファイルをダウンロードしてください。
PC/AT 互換機用 :ダウンロードQ285156_w2k_sp3_x86_JA.EXE
NEC PC-9800 シリーズ用 :ダウンロード Q285156_w2k_sp3_NEC98_JA.EXE
弊社が提供するサポート ファイルのダウンロード方法については、以下の「サポート技術情報」(英語)を参照してください。
119591 How to Obtain Microsoft Support Files from Online Services
弊社では、アップロードの時点で、最新のウイルス検査プログラムを使用し、配布するファイルのウイルス検査を行っています。配布ファイルはセキュリティで保護されたサーバー上に配置されており、権限のない第三者が無断でファイルを変更することはできません。

マイクロソフト ダウンロード センターからファイルをダウンロードする方法については、下記の URL にアクセスし、[ダウンロード センターの使い方] をクリックしてください。 修正の行われたファイル (日本語版) の属性は次のとおりです。本情報が公開された後に、これより新しい修正ファイルがリリースされている可能性もありますので、ご注意ください。
   日付       時刻    バージョン    サイズ    ファイル名  プラットフォーム   -----------------------------------------------------   2001/07/30  16:06  5.00.2195.3649  157,456  Els.dll   PC/AT 互換機   2001/07/30  16:08  5.00.2195.3649  157,456  Els.dll   NEC PC-9800 シリーズ

状況
弊社ではこの問題を、この資料の冒頭に記載した Microsoft 製品の問題として認識しています。

この問題を解決するためのモジュールは、Windows 2000 日本語版サービスパック 3 以降に含まれております。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
詳細
Windows 2000 Datacenter Server 用修正プログラムの入手方法を参照するには、以下の「サポート技術情報」をクリックしてください。
265173 Datacenter Program と Windows 2000 Datacenter Server
複数の修正プログラムを適用する場合で、1 回だけの再起動で適用を完了したいときは、以下の「サポート技術情報」を参照してください。
296861 QChain.exe を使用して複数の HOTFIX を再起動せずにインストールする方法
この脆弱性の詳細については、下記の弊社 Web サイトを参照してください。 Windows 2000 と Windows 2000 の修正プログラムを同時にインストールする方法については、次の「サポート技術情報」を参照してください。
249149Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 285156 (最終更新日 2001-10-08) を基に作成したものです。

security_patch Patch Available for Malformed Event Record Vulnerability
プロパティ

文書番号:285156 - 最終更新日: 01/29/2014 23:20:43 - リビジョン: 1.7

  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbwin2000sp3fix kbsecurity kbhotfixserver KB285156
フィードバック