Microsoft IIS の SSL ライブラリの脆弱性について【ＩＰＡ＝情報処理推進機構】6月28日更新JavaSc クエスチョン

現在地 HOME > 掲示板 > ＩＴ5 > 712.html

Microsoft IIS の SSL ライブラリの脆弱性について【ＩＰＡ＝情報処理推進機構】6月28日更新JavaSc
http://www.asyura2.com/0401/it05/msg/712.html
投稿者クエスチョン日時 2004 年 6 月 30 日 23:46:01:WmYnAkBebEg4M

(回答先: Windows脆弱性にまた新たな実証コード【IT_Media記事】投稿者クエスチョン日時 2004 年 4 月 27 日 22:43:18)

Microsoft IIS の SSL ライブラリの脆弱性について【ＩＰＡ＝情報処理推進機構】6月28日更新JavaScriptコードに関し追記有
http://www.ipa.go.jp/security/ciadr/vul/20040426-ssl.html

最終更新日：2004年 6月28日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

不正なJava Scriptコードに関する注意喚起

システム管理者へ

2004年 6月24日より、Webサーバーに細工を施したJavaScriptコードを仕込むことで、ユーザーが気づかないうちに不正なプログラムをダウンロードされる、というケースが報告されています。

影響を受けるコンピュータは、MS04-011の修正プログラムを適用していないIIS（Internet Information Server）が動作している Windows 2000です。該当するコンピュータのシステム管理者の方は、MS04-011の修正プログラムを適用して脆弱性を解消してください。

マイクロソフト社からの情報

Download.Ject に関する情報

http://www.microsoft.com/japan/security/incident/download_ject.mspx

エンドユーザへ

一部の不正なプログラムが仕掛けられたWebサイトを閲覧すると、修正プログラムが存在しないInternet Explorerの脆弱性を悪用してユーザが意識せずに不正なプログラムをダウンロードさせられる可能性があることが報告されています。

Internet Explorer を利用しているユーザは Internet Explorer の設定を変更するなどの対策を実施してください。

対策

・ Internet Explorerで「ツール」→「インターネットオプション」で「セキュリティ」タブを選択、「インターネット」のアイコンを選んだ状態で「このゾーンのセキュリティレベル」を「高」に設定する。

・ Internet Explorerで「ツール」→「インターネットオプション」で「セキュリティ」タブを選択、「インターネット」のアイコンを選んだ状態で「レベルのカスタマイズ」をクリック。「Active Xコントロールとプラグインの実行」及び「アクティブスクリプト」を無効にする。

・マイクロソフト社からの情報

Internet Explorer のマイコンピュータゾーンのセキュリティ設定を強化する方法

http://support.microsoft.com/default.aspx?scid=kb;ja;833633

（注意）この方法はレジストリの修正を行いますので、コンピュータに関する高度な知識が必要です。レジストリの修正は少しでも間違えると、コンピュータが正常に起動しなくなる場合もありますので注意が必要です。

また、

・Windows Updateを実施し最新のセキュリティパッチをあてること

・最新のウイルス定義ファイルに更新したワクチンソフトを活用すること

・信頼できないWebサイトやメールに記載されているリンクをクリックしないこと

も併せて実行してください。

概要

2004年 4月14日にマイクロソフト社より公開された Windows の複数の脆弱性のうち、PCT（Private Communications Transport）の脆弱性を攻略するプログラムが出現していますので、至急、修正プログラムを適用して脆弱性を解消してください。

この脆弱性は、Microsoft SSL（Secure Sockets Layer）ライブラリの一部の PCT プロトコルに存在します。攻撃者によって、この脆弱性が攻略されると、影響を受けるコンピュータ上において任意のコードを実行される可能性があります。

IIS（Internet Information Server）がインストールされ SSL が有効に設定されている場合、攻撃対象とされる可能性がありますので、以下のサイトで IIS がインストールされているか、SSLが有効に設定されているかを確認し、IIS を削除するなどの対策を講じてください。

マイクロソフト社からの情報

PCT/SSL の問題の影響を受けるか確認する方法

http://www.microsoft.com/japan/security/incident/iischeck.mspx

IIS を削除する方法について

http://www.microsoft.com/japan/security/incident/iisuninstall.mspx

対象

Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

対策

1. 脆弱性の解消 - 修正プログラムの適用 -
マイクロソフト社から提供されている修正プログラムを適用してください。

修正プログラムの適用方法には、Windows Update による方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

なお、各対象OS（プラットフォーム）の手順については、マイクロソフト社からの情報を参照してください。

・Windows Update による方法
Windows Update の機能を利用することにより、複数のセキュリティ修正プログラムを一括してインストールすることができます。

・個別の修正プログラムをダウンロードしてインストールする方法
下記のマイクロソフト社のページより修正プログラム (KB835732) をダウンロードしてインストールします。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

2. 回避策
回避策については、下記マイクロソフト社のサイトを参照してください。

マイクロソフト社からの情報

PCT/SSLの悪用を試みるコードに関する情報

http://www.microsoft.com/japan/security/incident/pctdisable.mspx

参考情報

マイクロソフト

http://www.microsoft.com/japan/security/security_bulletins/ms04-011e.asp
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

ISS

http://www.isskk.co.jp/support/techinfo/general/MS_SSL_168.html

US-CERT
http://www.kb.cert.org/vuls/id/753212

CIAC
http://www.ciac.org/ciac/bulletins/o-114.shtml

CVE 番号 CAN-2003-0719