マイクロソフト セキュリティ情報 MS08-005 - 重要
インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる (942831)
概説
要点
この深刻度「重要」の更新プログラムは非公開で報告されたインターネット インフォメーション サービス (IIS) の脆弱性を解決します。ローカルの攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または新たなアカウントを作成する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
このセキュリティ更新プログラムは Microsoft Windows 2000 上の Microsoft インターネット インフォメーション サービス (IIS) 5.0、Windows XP 上の Microsoft インターネット インフォメーション サービス (IIS) 5.1、Windows Server 2003 上の Microsoft インターネット インフォメーション サービス (IIS) 6.0 および Windows Vista 上の Microsoft インターネット インフォメーション サービス (IIS) 7.0 についてはその深刻度は「重要」と評価されています。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。
これら脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
推奨する対応策: マイクロソフトはお客様にできる限り早期にこの更新プログラムを適用することを推奨します。
既知の問題: なし
US マイクロソフトセキュリティ情報: http://www.microsoft.com/technet/security/bulletin/MS08-005.mspx
影響を受けるソフトウェアおよび影響を受けないソフトウェア
次の影響を受けるソフトウェアおよび影響を受けないソフトウェアの表では、サポート ライフサイクルが終了したソフトウェア バージョンは含んでいません。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧ください。
影響を受けるソフトウェアおよびそのダウンロード先:
このマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
| オペレーティング システム | コンポーネント | PC/AT | PC-9800 | 最も深刻な脆弱性の影響 | 総合的な深刻度 | この更新プログラムによって置き換えられるセキュリティ情報 |
Microsoft Windows 2000 Service Pack 4 | Microsoft Internet Information Services 5.0 |
|
| 特権の昇格 | 重要 | なし |
Windows XP Professional Service Pack 2 | Microsoft Internet Information Services 5.1 |
| - | 特権の昇格 | 重要 | なし |
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 | Microsoft Internet Information Services 6.0 |
| - | 特権の昇格 | 重要 | なし |
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 | Microsoft Internet Information Services 6.0 |
| - | 特権の昇格 | 重要 | なし |
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2 | Microsoft Internet Information Services 6.0 |
| - | 特権の昇格 | 重要 | なし |
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems | Microsoft Internet Information Services 6.0 |
| - | 特権の昇格 | 重要 | なし |
Windows Vista | Microsoft Internet Information Services 7.0 |
| - | 特権の昇格 | 重要 | なし |
Windows Vista x64 Edition | Microsoft Internet Information Services 7.0 |
| - | 特権の昇格 | 重要 | なし |
影響を受けないソフトウェア:
| オペレーティング システム |
Windows Vista Service Pack 1 (すべてのエディション) |
Windows Server 2008 (すべてのエディション) |
このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ) |
脆弱性の詳細
深刻度および脆弱性識別番号 |
ファイル変更の通知の脆弱性 - CVE-2008-0074 |
インターネット インフォメーション サービスが FTPRoot、NNTPFile および WWWRoot フォルダでファイル変更の通知を処理する方法にローカルの特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、ローカル システムのコンテキストで任意のコードが実行される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全な管理者権限を持つ新たなアカウントを作成する可能性があります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-0074 をご覧ください。
「ファイル変更の通知の脆弱性」の問題を緩和する要素 - CVE-2008-0074: |
「ファイル変更の通知の脆弱性」の回避策 - CVE-2008-0074: |
「ファイル変更の通知の脆弱性」のよく寄せられる質問 - CVE-2008-0074: |
セキュリティ更新プログラムに関する情報
検出および展開ツールとガイダンス |
セキュリティ更新プログラムの展開 |
影響を受けるソフトウェア
影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。
Windows 2000 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされる更新プログラムのロールアップに含まれる可能性があります。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | Windows 2000 Service Pack 4: |
再起動しないインストール | Windows 2000 Service Pack 4: |
ログファイル | KB942831.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピュータを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
Windows 2000 Service Pack 4: | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
Windows 2000 Service Pack 4: | |
ファイル情報 |
展開に関する情報 |
Windows XP (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows XP: |
サポートされているすべての x64 エディションの Windows XP: | |
再起動しないインストール | サポートされているすべての 32-bit エディションの Windows XP: |
サポートされているすべての x64 エディションの Windows XP: | |
ログファイル | KB942831.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピュータを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用してください。システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB942831$\Spuninst フォルダにあります。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
サポートされているすべての 32-bit エディションの Windows XP: | |
サポートされているすべての x64 エディションの Windows XP: | |
ファイル情報 |
展開に関する情報 |
Windows Server 2003 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows Server 2003: |
サポートされているすべての Itanium-based エディションの Windows Server 2003: | |
サポートされているすべての x64 エディションの Windows Server 2003: | |
再起動しないインストール | サポートされているすべての 32-bit エディションの Windows Server 2003: |
サポートされているすべての Itanium-based エディションの Windows Server 2003: | |
サポートされているすべての x64 エディションの Windows Server 2003: | |
ログファイル | KB942831.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 インストーラによって、必要なサービスが停止され、更新プログラムが適用され、サービスが再起動します。 しかし、何らかの理由により、必要なサービスが停止されない場合、または必要なファイルが使用中の場合、この更新プログラムを適用すると、再起動が要求されます。 この動作が起きた場合、再起動するメッセージが表示されます。 |
ホットパッチ | このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチに関する詳細情報は、サポート技術情報 897341 をご覧ください。 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用してください。システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB942831$\Spuninst フォルダにあります。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
サポートされているすべての 32-bit エディション、Itanium-based エディションおよび x64 エディションの Windows Server 2003: | |
ファイル情報 |
展開に関する情報 |
Windows Vista (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows Vista: |
サポートされているすべての x64 エディションの Windows Vista: | |
再起動しないインストール | Windows Vista: |
サポートされているすべての x64 エディションの Windows Vista: | |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピュータを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
Windows Vista: | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
注:この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。 更新プログラムがインストールされているかどうかを検出するためには、Windows Management Instrumentation (WMI) (英語情報)、または、インストール済みホット フィックスの列挙を使用してください。 | |
ファイル情報 |
展開に関する情報 |
その他の情報
サポート
| • | セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。 |
| • | その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。 |
免責条項
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
| • | 2008/02/13: このセキュリティ情報ページを公開しました。 |
| • | 2008/02/14: このセキュリティ情報ページを更新し、「影響を受けるソフトウェアおよびそのダウンロード先」の表のオペレーティング システム「Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2」のコンポーネントの記載を修正し、「Internet Information Services 6.0」としました。 修正前は IIS 5.1 という誤記でしたが、リンク先は IIS 6.0 用の更新プログラムを指しており、正しいリンク先でした。 |