MS12-054 の解析と Windows 2000用セキュリティ更新プログラム

セキュリティ上問題があると思われるセキュリティホールのうち、未作成パッチの見直しをしてみました

MS12-054はFireWallソフトが入っていない場合、きわめてリスクが高いと判断したので、パッチを適用することにしました。

対象は netapi32.dll と browser.dllなのですが、処理内容は wcscpy のオーバーフローによるものでした。
ただ、netapi32.dllについてはXPのバイナリを流用することにしました。
そのため、適用するためには拡張カーネルが必要になると思います。

 798D9641  50                                push    eax
 798D9642  E877510000                        call    jmp_MSVCRT.dll!wcscpy
 798D9647  59                                pop    ecx
 798D9648  8D4640                            lea    eax,[esi+40h]

適用箇所1

 798D97B0  50                                push    eax
 798D97B1  E808500000                        call    jmp_MSVCRT.dll!wcscpy
 798D97B6  837C241C64                        cmp    dword ptr [esp+1Ch],00000064h
 798D97BB  59                                pop    ecx
 798D97BC  59                                pop    ecx

適用箇所2

 798D97E9  50                                push    eax
 798D97EA  E8DA4F0000                        call    jmp_MSVCRT.dll!wcsncpy
 798D97EF  83C40C                            add    esp,0000000Ch
 798D97F2  FF7714                            push    [edi+14h]

適用箇所3

それぞれ、49バイト、16バイト、49バイト以上のパケットが含まれていた場合はエラー処理するように変更しました。それ以上のデータが飛んできた場合、バッファーオーバーフローで「コンピューターブラウザサービス」などがクラッシュし脆弱性を狙われる可能性があります。

マイクロソフト セキュリティ情報 MS12-054 - 緊急 : Windows ネットワーク コンポーネントの脆弱性により、リモートでコードが実行される (2733594)

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です