MS08-025:Windowsのカーネルにローカルでの特権昇格セキュリティホール
翻訳校正:石橋啓一郎
Microsoftは次のように述べている。
ローカルの攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。これは、Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 のすべてのサポートされているエディション用の深刻度「重要」のセキュリティ更新プログラムです。このセキュリティ更新プログラムは、Windows カーネルがユーザー モードから送られた入力の検証方法を変更することにより、脆弱性を削除します。影響のを受けるソフトウェアに対する更新プログラムが提供されています。
これはなかなか大変なものだ。この脆弱性を過小評価すべきではない。システムに対してユーザーレベルのアクセスを得ることは、特に企業環境では、思われているよりも大きな問題になる。一般ユーザーがドメインコントローラーから提供される特権によって、より重要なシステムへの正規のアクセスを獲得し、そこでこの脆弱性を悪用して管理者特権を入手する可能性もある。そのシステムの認証情報を操作したり、キャッシュされているドメイン管理者の認証情報を入手したりすれば、ネットワーク全体をコントロールすることができる。
さらに悪いことに、この問題については2カ所から脆弱性実証コードが公に提供されている(Security Focusに列挙されている)。
Immunity Partner's Programのメンバーから、次の脆弱性実証コードが提供されている。
https://www.immunityinc.com/downloads/immpartners/ms08_025.tgz次の概念実証コードが利用可能だ。
Microsoftがこの脆弱性に素早くパッチを当てたのはいいことだが、読者は実証コードが公になっていることを考えて、確実に更新していることをダブルチェックすることを勧める。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
- この記事を読み解くキーワード:
- セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
米国と英国、IR賞の季節がやってきた 【株式会社ビデオリサーチインタラクティブ】
-
【毎月発行】米国インターネット業界マーケティングレポート 【トレジャーネット株式会社】
-
連載記事:次なる仮想化ポイント「ストレージ仮想化」第三回「仮想サーバに最適なストレージ仮想化ソフト」-SANmelodyアーキテクチャ編- 【データコア・ソフトウェア株式会社】
-
ツイストペアー配線による 10 ギガビット/秒イーサネット試験の課題 【株式会社フルーク】
-
【Logistics Solution】物流を視点とした経営改革と
差別化を加速する物流ソリューション 【NECソフト株式会社】
関連製品
- ファイルサーバ専用アクセスログ監視ツール「File Server Audit」
File Server Auditは、Windowsファイルサーバ上の各種ファイルに対するアクセスを監視し内部情報漏洩を抑止する、ファイルサーバ専用アクセスログ監視ツールです。 ネットワークを流れるデータを直接収集する方式を採用していますので、共有ファイルサーバや利用者のパソ
【日本システムディベロップメント】 - Auge AccessWatcher for Lotus Notes v1.0
Lotus Notes/Dominoユーザーの皆様へ。Auge AccessWatcher for Lotus Notes(オージェ アクセスウオッチャー)はNotes/Dominoの標準ログ機能では取得できない「文書・ユーザー単位」のアクセスログを出力・保管します。ユーザーの行動履歴(アクセスログ/アクセス証跡)の保管によるセキュリティ強化、ユーザー毎の利用状況の把握、Notesの情報整理やDB棚卸しに、まずは現在の利用状況の把握(アクセスログの取得)から始めませんか?
【オージェテクノロジー】 - ArkSensor(リアルタイム情報漏洩検知エンジンOEM)
Advanced Real-Time KeyWord Sensor の略です。 社内ネットワーク上を流れるプロトコル内のあらゆるファイルを対象に、「機密情報キーワード辞書」に登録したキーワードおよび、「個人情報辞書」(標準搭載)にあたる氏名・住所・電話番号・メールアドレス・ID情報を高速検出し、各文字パターンの存在を監査して監査結果を出力するシステムソフトウェアです。主に機密情報や個人情報の漏洩対策ツール等を開発・製品化していただく為の要素技術です。
【データ変換研究所】
注目記事
Ziddyちゃんの「私を社食に連れてって」:パリで世界技術大会出場の学生とランデブー編
・今回Ziddyちゃんは、フランス パリにて開催されたMicrosoft主催の学生技術コンテスト「Imagine Cup 2008」の応援にやって来ました。若くて優秀な学生が集うこの街で、Ziddyちゃんはステキなランデブーを夢見ます。 2008/07/18 12:00 【Ziddyちゃんの「私を社食に連れてって」】
米国でクビになる可能性のある5つの行動
・雇用主は、従業員をさまざまな理由で解雇する可能性がある。この記事では、従業員が自分の雇用を守るために注意を払うべきことについて説明する。 2008/07/18 08:00 【IT業界を生き抜く秘密10箇条】
カテゴリ新着
- GMailアドレスに結びつく名前を調べる方法...
- IntelのCPUのバグを利用したリモートからのコー...
- オラクルが45件のパッチを公表予定...
- Verizon、Telecom Italia、Brasil Telecomが2008...
- Dan Kaminsky氏がDNSを破る:大規模なマルチベン...
- マイクロソフトが4件の「重要」なセキュリティ情...
- Firefox 2の12件の重大な脆弱性を修正するパッチ...
- VLC Media Playerに遠隔コード実行の脆弱性...
- IE7の未パッチの脆弱性に対する脆弱性実証コード...
- Web 2.0の脆弱性に対処する効果的な方法...
プレスリリース
プレスリリース Feed- パイプドビッツ: 総務省共催 「特定電子メール法セミナー」開催のご報告
- アイモバイル: アイモバイル、株式会社ファンコミュニケーションズを割当先とする、 第三者割当増資実施についてのお知らせ
- アブラハム・グループ・ホールディングス: ショート戦略のヘッジファンドが勝者の代表格
- ニューズ・ツー・ユー: リリースポータルNews2u.net週間リリースランキング 価格比較サイトやアンケートサイトなど、ランキング結果のニュースが上位にランクイン ―2008年7月7日〜2008年7月13日―
- ユニットコム: 【パソコン工房】ゲームモデルラインナップ一新!新筐体を採用したGS8シリーズで、GeForce9800GTX+(プラス)搭載の3機種を発売開始。
レビュー
レビュー Feed
[レビュー]高い信頼性を普通に使う地球に優しい電源ユニット--Antec EarthWattsシリーズ EA-650
[レビュー]東芝「dynabook SS RX」(後編)--リアルモバイル環境からストレスをなくす、1本芯が通った逸品
オンリーワンの個性を極めた超薄型テレビ--日立 Wooo UTシリーズ
最新記事
- Fijiベータ完了、Windows Media Center TV Pack がRTMに
- アバイア、iPhone 3GをPBX内線で使えるソフトを2008年内に提供開始へ
- IPアドレスと地域ターゲティング広告(ZDNet Japanブログより)
- 【18日市況:後場】先行き不透明感が根強く、日経平均は9日続落
- IBM、好調な第2四半期決算を発表--米国経済低迷の影響を回避
- 苦戦の続くAMD、CEOが交代
- 「Opera Mobile 9.5 for Windows Mobile」のベータ版が公開に
- 【18日市況:前場】実需買い乏しく上げ幅を縮小
- Ziddyちゃんの「私を社食に連れてって」:パリで世界技術大会出場の学生とランデブー編
- iPhoneに付く指紋が…… ひとまずおすすめのシリコンケース
企画特集
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
DELL連載第4回 〜「Microsoft System Center」- PowerEdgeサーバに最適な運用管理ソリューション後編
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
ブログ
ブログ RSS Feed
洞爺湖と環境と私- 裏方の裏方日記〜日々是広報 2008/05/20 12:57
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- LC2008: 発表者2次募集のお知らせ 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- 地域ごとにWebサイトを切り換え(その2) 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- セブ島でオープンソース・サミット開催される アジアIT通信
- builder blog log4day〜1人月からの脱却
- 貧乏だったワケじゃないけれど 真水不足のミッドウェイ
- 愛社精神ならぬ愛製品精神はどう? 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- マイクロソフトの頼んでもいない提案を評価するYahoo!取締役会 シリコンバレーの現場から
- 「金融民主主義」が金融サービスの向上を促す エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- 米国一般家庭のブロードバンド事情 IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
契約してわかった、iPhoneのさまざまな注意事項 - 7月11日にソフトバンクモバイルから発売された、アップル製携帯電話「iPhone 3G」。その契約手続きの中で、機種変更時の料金やメールの保存期間など、iPhoneが持つさまざまな注意事項が見えてきた。
フォトレポート:USIMカードはどこに?--「iPhone」開封の儀 - ソフトバンクモバイルが7月11日に発売したiPhoneを、編集部が早速入手した。ガジェット恒例の「開封の儀」をお届けする。なお、今回取り上げるのは黒色の8Gバイトモデルだ。
iPhone 3G、発売前夜から祭りのあとまで - iPhone 3Gがついに発売された。ユーザーからの期待は大きく、ソフトバンク表参道、ビックカメラ 有楽町店、ヨドバシカメラマルチメディアAkibaなどの旗艦店舗には多くの人が行列をなした。発売前後の様子を記事とともに振り返る。