現在オフラインです。再接続するためにインターネットの接続を待っています

[MS02-069] Microsoft VM の問題により システムが侵害される

現象
Microsoft 仮想マシン (Microsoft VM) は、Win32 運用環境のための仮想マシンです。Microsoft VM は Windows と Microsoft Internet Explorer のほとんどのバージョンに含まれています。

Microsoft VM の新しいバージョンが入手可能となり、それには新たに報告された 8 つのセキュリティ問題に対する修正プログラムおよび以前リリースされた Microsoft VM のすべての修正プログラムが含まれています。新しい問題に対する攻撃方法は、すべてほとんど同じです。攻撃者は、ユーザーがページを開くと特定の脆弱性を悪用するように Web サイトを作成して、Web サイトをホストするか、 HTML 形式の電子メール メッセージとしてユーザーに送ります。

新しく報告されたセキュリティ問題は次のものです。
  • 信頼されない Java アプレットが COM (Component Object Model) オブジェクトにアクセス可能なことによるセキュリティ上の脆弱性

    COM オブジェクトは、仕様上その機能が公開されるものであるため、COM オブジェクトは信頼される Java プログラムでのみ利用可能である必要があります。一部の COM オブジェクトは攻撃者がシステムを制御できる可能性のある機能を提供しています。
  • アプレットのコードベース属性が示す実際の場所を偽装できる 2 つの脆弱性

    各脆弱性の原因は異なりますが、これらの脆弱性により同じ影響を受ける可能性があります。仕様により、ユーザーの記憶装置やネットワーク共有上に存在する Java アプレットは、自分が存在するフォルダとその下のフォルダすべてに対して読み取りアクセス権を持っています。Web サイトに存在するアプレットが、これらの脆弱性を利用してコードベース属性でその場所を詐称する可能性があります。つまり、アプレットが実際の場所ではなく、ユーザーのローカル システムやネットワーク共有に存在しているように見せます。
  • 攻撃者が特定の URL を作り上げ、URL が解析されたとき、ある Web サイトから Java アプレットを読み込んで、そのアプレットが別の Web サイトに存在するように詐称できる脆弱性

    この脆弱性により、攻撃者のアプレットは別のサイトのドメインで実行可能になります。ユーザーがこのアプレットに提供する情報は、すべて攻撃者に中継して返すことができます。
  • アプレットによりデータベースの内容が変更できる脆弱性

    この脆弱性は、Microsoft VM がデータベースへのアクセス手段を提供する一連の JDBC API を、アプレットから呼び出せないようになっていないために発生します。仕様では、これらの API はデータベースの内容の追加、変更、削除、および変更する機能を提供しますが、これらはユーザーのアクセス許可のみで可能です。
  • 攻撃者が指定した Java オブジェクトの呼び込みや実行を一時的に防止できることによる脆弱性

    以前のセキュリティ メカニズムである、標準セキュリティ マネージャは、ユーザーが Java アプレットの実行を完全に阻止するなど、Java アプレットを制限することができます。しかし、Microsoft VM は 標準セキュリティ マネージャへのアクセスを適切に制御しないため、攻撃者のアプレットが他の Java オブジェクトを "禁止リスト" に追加することができます。
  • 攻撃者がローカル コンピュータ上のユーザーのユーザー名を知ることができる脆弱性

    この脆弱性は、user.dir システム プロパティが信頼されないアプレットから取得可能なことが原因で起こります。攻撃者にユーザー名が知られること自体で、セキュリティが損なわれるわけではありませんが、偵察目的には役立つ可能性があります。
  • Java アプレットが別の Java オブジェクトのインスタンス化を不完全に行うことがあることが原因で発生する脆弱性

    この問題により、コンテナ プログラム (Internet Explorer) が異常終了します。
この問題を解決するには、"810030: Microsoft VM Security Update" パッケージをインストールします。この更新により、使用中の Microsoft VM はバージョン 5.00.3809 へアップグレードされます。5.00.3809 より前の Microsoft VM のすべてのバージョンは、この資料の「現象」に記載されている脆弱性の影響を受けます。

更新を入手するには

更新を入手するには、次の Microsoft Windows Update Web サイトの 「重要な更新」を参照してください。

管理者はこの更新を次のサイトからダウンロードして、Microsoft VM をインストール済みの複数のコンピュータに展開することができます。Windows Update カタログこの更新を後で 1 台以上のコンピュータにインストールするために入手する必要がある場合は、Windows Update カタログの [検索オプションの詳細設定] を使用して、この資料の文書番号を検索します。 Windows Update カタログからの更新のダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323166 [HOWTO] Windows Update カタログから Windows の更新およびドライバをダウンロードする
Windows 2000 バージョンの Microsoft VM の更新をインストールするには、コンピュータに Windows 2000 Service Pack 2 またはそれ以降がインストールされている必要があります。他のオペレーティング システムにこの更新をインストールすることはできません。Windows Update カタログ から Windows 2000 にこの更新をダウンロードするには、Windows Update カタログへアクセスし、オペレーティング システムから Windows 2000 SP2 または Windows 2000 SP3 を選択してください。

Microsoft Windows XP、Windows NT 4.0、Windows Millennium Edition (Me)、Windows 98 Second Edition、および Windows 98 用のこの更新をダウンロードするには、使用中のオペレーティング システムの項目 Windows XP family、Windows Millennium Edition、または Windows 98 を選択します。

Windows NT 4.0 ベースのコンピュータでは、Windows Update カタログへアクセスできません。Windows NT 4.0 パッケージをダウンロードし、複数のコンピュータにインストールするか後でインストールする必要がある場合は、Windows 98、Windows Millennium Edition、Windows 2000、Windows XP、または Windows .NET Server 2003 を実行しているコンピュータを使用して Windows Update カタログへアクセスし、オペレーティング システムから Windows 98、Windows Millennium Edition、または Windows XP を選択します。このセキュリティ更新は、Windows NT 4.0 コンピュータ上にインストールすることもできます。Windows Update カタログにアクセスするために、Windows XP、Windows 98、Windows Millennium Edition、Windows 2000、または Windows .NET Server 2003 ベースのコンピュータを利用できない管理者は、マイクロソフト製品サポート サービスに問い合わせて修正プログラムを入手してください。電話番号一覧およびサポート料金については、次の Web ページを参照してください。

インストール情報

この更新は以前のバージョンの Microsoft VM がインストールされているコンピュータにのみインストールすることができます。 コンピュータを再起動せず Microsoft VM をサイレント インストールする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
304930 コンピュータを再起動せずに Microsoft 仮想マシンをサイレント インストールする方法

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付        時刻    バージョン    サイズ      ファイル名   ---------------------------------------------    2002/03/20  06:52                 2,678  Classes.cer   2002/11/18  09:07             5,751,849  Classes.zip   2002/11/19  14:46  5.0.3809.0   404,752  Javart.dll   2002/11/18  09:09  5.0.3809.0   172,304  Jview.exe           2002/11/19  14:46  5.0.3809.0   947,984  Msjava.dll   2002/03/20  06:52                 2,678  Msjdbc.cer   2002/11/18  09:07               137,482  Msjdbc.zip   2001/05/28  19:58                10,957  Osp.zip
更新された VM をインストール後、すべての .zip ファイルは別の名前になります。これは通常の動作であり無視できます。また、Zip パッケージ内の一部のファイルはこのリリースのために変更されています。しかし、これらのファイルを別々にパッケージすることはできません。
状況
マイクロソフトでは、この問題により Microsoft VM のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。
詳細
Windows 98、Windows 98 Second Edition (SE)、または Windows Me (Millennium Edition) を実行しているコンピュータで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに command と入力し、[OK] をクリックします。
  3. コマンド プロンプトで、jview と入力し、Enter キーを押します。バージョン番号は、1 行目に "Version n.nn.nnnn" のように表示されます。ここで、最後の4 桁の数字 nnnn がビルド番号です。たとえば、5.00.3809 は Microsoft VM ビルド 3809 を示します。
Windows NT 4.0、Windows 2000、または Windows XP を実行しているコンピュータで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスで cmd と入力し、[OK] をクリックします。
  3. コマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。
    jview
    バージョン情報は 1 行目に "Versionn.nn.nnnn" のように表示されます。ここで、最後の 4 桁の数字 nnnn がビルド番号です。たとえば 5.00.3809 は、Microsoft VM ビルド 3809 を示します。
この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
security_patch
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 810030 (最終更新日 2003-02-27) をもとに作成したものです。
プロパティ

文書番号:810030 - 最終更新日: 02/03/2011 16:36:00 - リビジョン: 6.6

  • kbdownload kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
フィードバック