マイクロソフト セキュリティ情報 MS08-067 - 緊急:Server サービスの脆弱性により、リモートでコードが実行される (958644)緊急リリース
昨日書いていた定例外アップデートの話の続編*1。この脆弱性で、影響を受けるコンピューターが特別な細工がされた RPC リクエストを受け取った場合、リモートでコードが実行される可能性があります。 Microsoft Windows 2000、Windows XP および Windows Server 2003 システムで、 攻撃者によりこの脆弱性が悪用された場合、 認証なしで任意のコードが実行される可能性があります。 この脆弱性が悪用され、ワームとして悪用できるコードが作成される可能性があります。ということで、特に、公開サーバとか深刻。 Blaster再来? いや、きっちりパッチを当てれば!というわけで管理者がんばれ。対象OS: Windows 2000 SP4 Windows XP SP2、SP3、Pro x64 Edition、Pro x64 Edition SP2 Windows Server 2003 SP1、SP2、x64 Edition、x64 Edition SP2 Windows Server 2003 with SP1 for Itanium-based Systems、with SP2 for Itanium-based Systems Windows Vista、SP1、x64 Edition、x64 Edition SP1 Windows Server 2008 for 32-bit Systems、for x64-based Systems、for Itanium-based Systems*2Windows Home Serverは対象外なのかな?Windows 7 Pre-Betaは適用対象なのにね。 あと、注意するのは、Windows Server 2008を導入する際にServer Core インストールだし、これってより安全なんだよね?という考えはだめ。Windows Server 2008 Server Core インストールは影響を受けます。なので、そこも注意。 で、いやいや、急に止めれないサービスなんだよ!!!という場合はどうしたらいいの? MSからは、・Server サービスおよび Computer Browser サービスを無効にする ・Windows Vista および Windows Server 2008 で、影響を受ける RPC 識別子をフィルターする ・TCP ポート 139 および 445 をファイアウォールでブロックする ・ネットワークベースでのこの脆弱性の悪用に対する保護の手助けを行うために、 インターネット接続ファイアウォールなどのパーソナルファイアウォールを使用する。という回避策が書かれていますので、基本的な脆弱性を正すものではありませんが、更新プログラムを適用する前に既知の攻撃方法を阻止するのに役立ちます。ということを念頭に置いて、対応するのも手段の一つかもしれません。
*1:昨日、まっちゃさんがOpenmyaに流していた、[openmya:039227] Trendmicroにてレッドアラートが 出ています。がコレだったのかなとか
*2:Windows Server 2008 Server Core インストールは影響を受けます