製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Virtual PC の VMM におけるゲスト OS 内で任意のカーネルモードコードを実行される脆弱性

タイトル	Microsoft Virtual PC の VMM におけるゲスト OS 内で任意のカーネルモードコードを実行される脆弱性
概要	Microsoft Virtual PC の Virtual Machine Monitor (VMM) には、特権のレベルを間違って検証するため、任意のカーネルモードコードを実行される、およびゲスト OS での権限を取得される脆弱性が存在します。
想定される影響	巧妙に細工されたアプリケーションにより、ゲスト OS ユーザが任意のカーネルモードコードを実行する、およびゲスト OS での権限を取得する可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年7月14日0:00
登録日	2009年8月21日10:16
最終更新日	2010年3月17日12:18

影響を受けるシステム

マイクロソフト

Microsoft Virtual PC 2004

Microsoft Virtual PC 2007

Microsoft Virtual PC 2007 x64 Edition

Microsoft Virtual Server 2005

Microsoft Virtual Server 2005 R2

Microsoft Virtual Server 2005 R2 x64 Edition

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1542	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1542
National Vulnerability Database (NVD)
2	CVE-2009-1542	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1542

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS09-033	http://www.microsoft.com/technet/security/bulletin/MS09-033.mspx
マイクロソフトセキュリティ情報
2	MS09-033	http://www.microsoft.com/japan/technet/security/bulletin/ms09-033.mspx
富士通セキュリティ情報
3	TA09-195A	http://software.fujitsu.com/jp/security/vulnerabilities/ta09-195a.html
絵でみるセキュリティ情報
4	MS09-033e	http://www.microsoft.com/japan/security/bulletins/MS09-033e.mspx

その他

No	名前	URL
JPCERT 緊急報告
1	JPCERT-AT-2009-0013	http://www.jpcert.or.jp/at/2009/at090013.txt
JVN
2	JVNTA09-195A	http://jvn.jp/cert/JVNTA09-195A/
JVN Status Tracking Notes
3	JVNTR-2009-17	http://jvn.jp/tr/JVNTR-2009-17
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
4	55837	http://osvdb.org/55837
Secunia Advisory
5	SA35808	http://secunia.com/advisories/35808
SecurityFocus
6	35601	http://www.securityfocus.com/bid/35601
SecurityTracker
7	1022544	http://www.securitytracker.com/id?1022544
US-CERT Cyber Security Alerts
8	SA09-195A	http://www.us-cert.gov/cas/alerts/SA09-195A.html
US-CERT Technical Cyber Security Alert
9	TA09-195A	http://www.us-cert.gov/cas/techalerts/TA09-195A.html
VUPEN Security
10	VUPEN/ADV-2009-1890	http://www.vupen.com/english/advisories/2009/1890
警察庁 @police
11	マイクロソフト社のセキュリティ修正プログラムについて(MS09-028,029,030,031,032,033)	http://www.cyberpolice.go.jp/#topics

変更履歴

No	変更内容	変更日
0	[2009年08月21日] 掲載 [2010年03月17日] 影響を受けるシステム：マイクロソフト (MS09-033) の情報を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-1542

概要	The Virtual Machine Monitor (VMM) in Microsoft Virtual PC 2004 SP1, 2007, and 2007 SP1, and Microsoft Virtual Server 2005 R2 SP1, does not enforce CPU privilege-level requirements for all machine instructions, which allows guest OS users to execute arbitrary kernel-mode code and gain privileges within the guest OS via a crafted application, aka "Virtual PC and Virtual Server Privileged Instruction Decoding Vulnerability."
公表日	2009年7月16日0:30
登録日	2021年1月29日13:17
最終更新日	2018年10月13日6:51

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:virtual_pc:2004:sp1::::::
cpe:2.3:a:microsoft:virtual_pc:2007:::::::*
cpe:2.3:a:microsoft:virtual_pc:2007::x64:::::
cpe:2.3:a:microsoft:virtual_pc:2007:sp1::::::
cpe:2.3:a:microsoft:virtual_server:2005:r2_sp1::::::
cpe:2.3:a:microsoft:virtual_server:2005:r2_sp1:x64:::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:virtual_pc:2004:sp1::::::
cpe:2.3:a:microsoft:virtual_pc:2007:::::::*
cpe:2.3:a:microsoft:virtual_pc:2007::x64:::::
cpe:2.3:a:microsoft:virtual_pc:2007:sp1::::::
cpe:2.3:a:microsoft:virtual_server:2005:r2_sp1::::::
cpe:2.3:a:microsoft:virtual_server:2005:r2_sp1:x64:::::*

No	URL	refsource	タグ
1	http://secunia.com/advisories/35808	SECUNIA
2	http://www.securitytracker.com/id?1022544	SECTRACK
3	http://www.us-cert.gov/cas/techalerts/TA09-195A.html	CERT	US Government Resource
4	http://www.vupen.com/english/advisories/2009/1890	VUPEN
5	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-033	MS
6	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6166	OVAL