2009年09月09日
MS09-048 の修正が Windows2000で出ない理由
Microsoftから月例のセキュリティパッチがリリースされました。
ところが、Windows 2000については、MS09-048: Windows の TCP/IP の脆弱性 の影響を受けるとしながらも、パッチが存在しません。
いったい、どうしたのでしょうか?
ところが、Windows 2000については、MS09-048: Windows の TCP/IP の脆弱性 の影響を受けるとしながらも、パッチが存在しません。
いったい、どうしたのでしょうか?
これについて、海外に詳しいニュースがあったので紹介します。
英語が苦手なので、翻訳が一部見苦しいかもしれませんがご容赦を…。
翻訳: 黒翼猫
本当は、IP Filter による防御方法を紹介しようと思ったのですが、これだと効果が無いと書いてますね(^^;
要約すると、ルータやファイアーウォールなしでWindows 2000を使うのは本当に危険。ということになりそうですね。
逆にいえば、最新のファイアーウォールソフトが有効になっているか、ルータで直接Listenされることが無ければ安心とは言えそうです。
まぁ、今時、素で接続することはほとんど無いと思いますが、まとめると次のようになります。
影響を受けるWindows 2000
条件1
・WebサーバーやFTPサーバーとして外にサーバー機能を公開しているPC
・ルータを経由せずに直接ダイアルアップ接続するPC
条件2
・ルーターやFirewallソフトがゼロ ウィンドウ サイズの脆弱性 - CVE-2008-4609 や 孤立した接続の脆弱性 - CVE-2009-1926 に対応していない場合。
上記の2つが両方そろった場合に始めて危険に晒されるので、一般のWindows 2000 Professinal ユーザーはそれ程心配しなくても良さそうですが、e-Mobileなどダイアルアップで接続する場合は、FireWallソフトなしに接続するのは非常に危険であると言うことだけは覚えておきましょう。
関連記事:
今月更新されたソフトウェアやWindowsUpdate
MS09-037(KB973908)のWindows 2000用のアップデートファイルが間違っている件
Windows 2000のMS09-045 の対応もおざなりな件
関連サイト:
月刊Microsoftアップデート 2009年9月号: YUU MEDIA TOWN@Blog
MS09-048: Windows の TCP/IP の脆弱性により、リモート コードが実行
Microsoft: Patching Windows 2000 'infeasible' | The Industry Standard
TCP/IP のゼロ ウィンドウ サイズの脆弱性 - CVE-2008-4609
TCP/IP の孤立した接続の脆弱性 - CVE-2009-1926
ITdesignのブログ:マイクロソフトの2009年9月のセキュリティ更新プログラム出た
2009 年 9 月のセキュリティ情報(情報元のブックマーク数) - ふうてんのまっちゃだいふくの日記★とれんどふりーく★
ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明
英語が苦手なので、翻訳が一部見苦しいかもしれませんがご容赦を…。
| Microsoft: Windows 2000に修正適用は不可能 Microsoft は月例のセキュリティアップデートで説明のあった脆弱性のひとつの修正プログラムを見送るという異例の措置をとり、修正プログラムを作成は不可能とした。 この怠慢は Windows 2000 サーバー サービスパック 4ユーザーを攻撃に対しての脆弱性を残したままにする。 本日、Microsoftは8つのWindowsの脆弱性に対して修正を行う、5つの緊急アップデート(Windows 2000 サーバーSP4に対しては処置されないものを1つ含む)を公開した。 このオペレーティングシステムのサポートは 2010年7月まで終わらない、それまでは Microsoftはアップデートを提供することになっている。 セキュリティデータチームマネージャーののシャブリック・テクノロジーズ社のジェーソン=ミラー氏は『これは、本当に不思議なことで、このようなことは前例が無い』と述べた。 3つの脆弱性に対するアップデートの一つ(実際に一つだけ『緊急』と記されている)はVistaと Server 2008に修正が適用されているが、2000 Server SP4には無い。 『Microsoft は脆弱性の修正プログラムを公開しないでいる』ミラー氏は続けた。 『彼らは述べられた脆弱性の修正プログラムを作ることは「不可能」であると言いはじめた。 この点を考慮して、Windows 2000が影響を受けるこの脆弱性は周知されるようになり、管理者は彼らのコンピュータへの単純な修正プログラムでは対応できない』 MS09-048速報で、Microsoftはなぜ、Windows 2000 SP4でその脆弱性が修正されていないのかを次のように明かしている。 『Microsoft Windows 2000 のシステムには TCP/IP の保護を適切にサポートするアーキテクチャーが存在しないため、脆弱性を排除する Microsoft Windows 2000 Service Pack 4 用の更新プログラムを作成するのは極めて困難です。それを実現するには、影響を受けるコンポーネントだけではなく、Microsoft Windows 2000 Service Pack 4 オペレーティング システムの非常に多くの部分を再設計し直す必要があります。そのような再設計がなされた製品は、Microsoft Windows 2000 Service Pack 4 との互換性が不十分になり、Microsoft Windows 2000 Service Pack 4 で実行するように設計されたアプリケーションが更新されたシステムで引き続き稼働する保証がありません。』 『信じられないね、』 エヌサイクル・ネットワーク・セキュリティのセキュリティ運用ディレクターのアンドリュー=ストームス氏は言った、『「それは」Windows2000のネットワークスタックがいい加減だったことを更に証明したことになる』 彼は、まとめると次のようになると述べた、 Windows XP がリリースされた時に MicrosoftがCisco Systemsにこのオペレーティングシステムの TCP/IP スタックを作らせたと言う噂があった。 ミラー氏はMS09-048を彼らの修正プログラムのTODOリストの最上位に入れることを企業に要請した。 『もしビジネスインタラクションを探しているならば、これは致命的だ』彼は言った。 『加えて、これについての要求されたユーザーインタラクションはない。』 Windows 2000 が全てのWindowsマシン、クライアントやサーバーに占める割合は非常にわずかではあるが、その脆弱性(実際にMicrosoft が修正を投げ出した)はいくつかのファームウェアウェアにとっては厄介なことになる、とミラー氏は述べた。 『移行されていないコンピュータ、例えば、Windows Server 2003 を持っている人たちは 沢山の問題を抱えている』、ミラー氏は言う。 『そして、おそらくWindows2000じゃないと動作しないアプリケーションを持っていると言う理由でそれすら持っていない沢山の企業がある』 クォリス社の脆弱性研究所、マネージャーのアモール・サーワテ氏は『一度「悪意のある」パケットを受け取ると、そのマシンは脆弱になる。単純なポートのブロックでは防御することができない』と述べた。 ハッカーたちはTCP/IP のバグによる不正コードを作るために、どちらかと言えばより高度な専門技術が必要なのだと研究者たちは言ったのが唯一の希望かもしれない。 クォリスの最高技術責任者のウォルフガング・カンデック氏は『ハッカーが動作する悪意のあるコードを獲得するのには少し時間がかかり、ユーザーはMS09-048のパッチを当てる時間の余裕があるだろう。』と述べている。 現行でサポートされている全てのWindowsが TCP/IPの脆弱性の影響を受けるのだが、VistaとWindows 2008 Serverが含まれている反面、まだリリースされていない Windows 7 とWindows Server 2008 R2 は含まれていない。 『これはとても興味深い』クォリスの最高技術責任者のウォルフガング・カンデック氏は言った。『Microsoftはこのような攻撃を防ぐために、それらのOSで特別なことをしなくてはならない』 9月のアップデートはダウンロード可能で、Microsoft Update や Windows Update サービス以外にWindows Server Update サービスといった方法を経由してインストールできる。 |
本当は、IP Filter による防御方法を紹介しようと思ったのですが、これだと効果が無いと書いてますね(^^;
要約すると、ルータやファイアーウォールなしでWindows 2000を使うのは本当に危険。ということになりそうですね。
逆にいえば、最新のファイアーウォールソフトが有効になっているか、ルータで直接Listenされることが無ければ安心とは言えそうです。
まぁ、今時、素で接続することはほとんど無いと思いますが、まとめると次のようになります。
影響を受けるWindows 2000
条件1
・WebサーバーやFTPサーバーとして外にサーバー機能を公開しているPC
・ルータを経由せずに直接ダイアルアップ接続するPC
条件2
・ルーターやFirewallソフトがゼロ ウィンドウ サイズの脆弱性 - CVE-2008-4609 や 孤立した接続の脆弱性 - CVE-2009-1926 に対応していない場合。
上記の2つが両方そろった場合に始めて危険に晒されるので、一般のWindows 2000 Professinal ユーザーはそれ程心配しなくても良さそうですが、e-Mobileなどダイアルアップで接続する場合は、FireWallソフトなしに接続するのは非常に危険であると言うことだけは覚えておきましょう。
関連記事:
今月更新されたソフトウェアやWindowsUpdate
MS09-037(KB973908)のWindows 2000用のアップデートファイルが間違っている件
Windows 2000のMS09-045 の対応もおざなりな件
関連サイト:
月刊Microsoftアップデート 2009年9月号: YUU MEDIA TOWN@Blog
MS09-048: Windows の TCP/IP の脆弱性により、リモート コードが実行
Microsoft: Patching Windows 2000 'infeasible' | The Industry Standard
TCP/IP のゼロ ウィンドウ サイズの脆弱性 - CVE-2008-4609
TCP/IP の孤立した接続の脆弱性 - CVE-2009-1926
ITdesignのブログ:マイクロソフトの2009年9月のセキュリティ更新プログラム出た
2009 年 9 月のセキュリティ情報(情報元のブックマーク数) - ふうてんのまっちゃだいふくの日記★とれんどふりーく★
ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明
Twitter Feedback
この記事へのトラックバック
2. ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明 [ SEが薦める役に立つ フリーソフト & ソフト ] 2009年11月02日 21:44
今日、筆者が気になったソフトニュースは
Windows XPのTCP-IP問題には対処せず、Microsoftが表明 - ITmedia エンタープライズ
です
米Microsoftは9月8日に公開した月例セキュリティ情報のうち、TCP/IPの脆弱性について記載した「MS09-048」の内容を改訂し、Windows XP SP2/3...
1. [MS09-048]Windows 2000は見捨てられたのか?Windows XPは本当に安全なのか? [ いたさんのブログ ] 2009年09月09日 22:08
2009年9月のMicrosoftのセキュリティアップデートのうち、TCP/IP関連の3つの脆弱性を対象とするMS09-048が、延長サポート期間中のWindows 2000で提供されていない事に、海外で論議が起きているよ??
Translate