MS09-048 の修正が Windows2000で出ない理由
Microsoftから月例のセキュリティパッチがリリースされました。
ところが、Windows 2000については、MS09-048: Windows の TCP/IP の脆弱性 の影響を受けるとしながらも、パッチが存在しません。
いったい、どうしたのでしょうか?
これについて、海外に詳しいニュースがあったので紹介します。
英語が苦手なので、翻訳が一部見苦しいかもしれませんがご容赦を…。
| Microsoft: Windows 2000に修正適用は不可能
Microsoft は月例のセキュリティアップデートで説明のあった脆弱性のひとつの修正プログラムを見送るという異例の措置をとり、修正プログラムを作成は不可能とした。 この怠慢は Windows 2000 サーバー サービスパック 4ユーザーを攻撃に対しての脆弱性を残したままにする。 本日、Microsoftは8つのWindowsの脆弱性に対して修正を行う、5つの緊急アップデート(Windows 2000 サーバーSP4に対しては処置されないものを1つ含む)を公開した。 セキュリティデータチームマネージャーののシャブリック・テクノロジーズ社のジェーソン=ミラー氏は『これは、本当に不思議なことで、このようなことは前例が無い』と述べた。 3つの脆弱性に対するアップデートの一つ(実際に一つだけ『緊急』と記されている)はVistaと Server 2008に修正が適用されているが、2000 Server SP4には無い。 『Microsoft は脆弱性の修正プログラムを公開しないでいる』ミラー氏は続けた。 MS09-048速報で、Microsoftはなぜ、Windows 2000 SP4でその脆弱性が修正されていないのかを次のように明かしている。 『Microsoft Windows 2000 のシステムには TCP/IP の保護を適切にサポートするアーキテクチャーが存在しないため、脆弱性を排除する Microsoft Windows 2000 Service Pack 4 用の更新プログラムを作成するのは極めて困難です。それを実現するには、影響を受けるコンポーネントだけではなく、Microsoft Windows 2000 Service Pack 4 オペレーティング システムの非常に多くの部分を再設計し直す必要があります。そのような再設計がなされた製品は、Microsoft Windows 2000 Service Pack 4 との互換性が不十分になり、Microsoft Windows 2000 Service Pack 4 で実行するように設計されたアプリケーションが更新されたシステムで引き続き稼働する保証がありません。』 『信じられないね、』 ミラー氏はMS09-048を彼らの修正プログラムのTODOリストの最上位に入れることを企業に要請した。 Windows 2000 が全てのWindowsマシン、クライアントやサーバーに占める割合は非常にわずかではあるが、その脆弱性(実際にMicrosoft が修正を投げ出した)はいくつかのファームウェアウェアにとっては厄介なことになる、とミラー氏は述べた。 クォリス社の脆弱性研究所、マネージャーのアモール・サーワテ氏は『一度「悪意のある」パケットを受け取ると、そのマシンは脆弱になる。単純なポートのブロックでは防御することができない』と述べた。 ハッカーたちはTCP/IP のバグによる不正コードを作るために、どちらかと言えばより高度な専門技術が必要なのだと研究者たちは言ったのが唯一の希望かもしれない。 現行でサポートされている全てのWindowsが TCP/IPの脆弱性の影響を受けるのだが、VistaとWindows 2008 Serverが含まれている反面、まだリリースされていない Windows 7 とWindows Server 2008 R2 は含まれていない。 9月のアップデートはダウンロード可能で、Microsoft Update や Windows Update サービス以外にWindows Server Update サービスといった方法を経由してインストールできる。 |
翻訳: 黒翼猫
本当は、IP Filter による防御方法を紹介しようと思ったのですが、これだと効果が無いと書いてますね(^^;
要約すると、ルータやファイアーウォールなしでWindows 2000を使うのは本当に危険。ということになりそうですね。
逆にいえば、最新のファイアーウォールソフトが有効になっているか、ルータで直接Listenされることが無ければ安心とは言えそうです。
まぁ、今時、素で接続することはほとんど無いと思いますが、まとめると次のようになります。
影響を受けるWindows 2000
条件1
・WebサーバーやFTPサーバーとして外にサーバー機能を公開しているPC
・ルータを経由せずに直接ダイアルアップ接続するPC
条件2
・ルーターやFirewallソフトがゼロ ウィンドウ サイズの脆弱性 – CVE-2008-4609 や 孤立した接続の脆弱性 – CVE-2009-1926 に対応していない場合。
上記の2つが両方そろった場合に始めて危険に晒されるので、一般のWindows 2000 Professinal ユーザーはそれ程心配しなくても良さそうですが、e-Mobileなど
ダイアルアップで接続する場合は、FireWallソフトなしに接続するのは非常に危険であると言うことだけは覚えておきましょう。
関連記事:
今月更新されたソフトウェアやWindowsUpdate
MS09-037(KB973908)のWindows 2000用のアップデートファイルが間違っている件
Windows 2000のMS09-045 の対応もおざなりな件
関連サイト:
月刊Microsoftアップデート 2009年9月号: YUU MEDIA TOWN@Blog
MS09-048: Windows の TCP/IP の脆弱性により、リモート コードが実行
Microsoft: Patching Windows 2000 ‘infeasible’ | The Industry Standard
TCP/IP のゼロ ウィンドウ サイズの脆弱性 – CVE-2008-4609
TCP/IP の孤立した接続の脆弱性 – CVE-2009-1926
ITdesignのブログ:マイクロソフトの2009年9月のセキュリティ更新プログラム出た
2009 年 9 月のセキュリティ情報(情報元のブックマーク数) – ふうてんのまっちゃだいふくの日記★とれんどふりーく★
ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明
Translate
[MS09-048]Windows 2000は見捨てられたのか?Windows XPは本当に安全なのか?
2009年9月のMicrosoftのセキュリティアップデートのうち、TCP/IP関連の3つの脆弱性を対象とするMS09-048が、延長サポート期間中のWindows 2000で提供されていない事に、海外で論議が起きているよ??
[MS09-048]Windows 2000は見捨てられたのか?Windows XPは本当に安全なのか?
2009年9月のMicrosoftのセキュリティアップデートのうち、TCP/IP関連の3つの脆弱性を対象とするMS09-048が、延長サポート期間中のWindows 2000で提供されていない事に、海外で論議が起きているよ??
ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明
今日、筆者が気になったソフトニュースは
Windows XPのTCP-IP問題には対処せず、Microsoftが表明 – ITmedia エンタープライズ
です
米Microsoftは9月8日に公開した月例セキュリティ情報のうち、TCP/IPの脆弱性について記載した「MS09-048」の内容を改訂し、Windows XP SP2/3…
ソフトニュース えー対応してください! Windows XPのTCP-IP問題には対処せず、Microsoftが表明
今日、筆者が気になったソフトニュースは
Windows XPのTCP-IP問題には対処せず、Microsoftが表明 – ITmedia エンタープライズ
です
米Microsoftは9月8日に公開した月例セキュリティ情報のうち、TCP/IPの脆弱性について記載した「MS09-048」の内容を改訂し、Windows XP SP2/3…