マイクロソフト セキュリティ アドバイザリ (953818)

Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威

公開日: 2008年5月31日 | 最終更新日: 2009年4月15日
要訳

お知らせ内容

更新プログラムの公開

更新プログラム

Apple Safari 3.1.2 以上

セキュリティ情報 MS09-014

セキュリティ情報 MS09-015

被害報告

なし

回避策

あり

対応方法

Apple Safari のダウンロード サイトから Apple Safari 3.1.2 以上をインストールしてください。

セキュリティ情報 MS09-014 および MS09-015 で提供しているセキュリティ更新プログラムをインストールしてください。

マイクロソフトは、Apple 製 Safari を Windows XP および Windows Vista のサポートしているバージョンと組み合わせて使用した場合にリモートで攻撃することが可能な複合的な脅威に関する一般に公開されたレポートについて調査を行っています。Safari は、Windows XP および Windows Vista に標準ではインストールされていません。Safari をインストールするには、個別または、Apple Software Update を通じてインストールする必要があります。Safari を Windows 上で使用しているお客様は、このアドバイザリの内容をご確認ください。

マイクロソフトはこの問題を解決するために、マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) を公開しました。 セキュリティ更新プログラムのダウンロード リンクなどのこの問題に関する詳細情報は、MS09-014 および MS09-015 をご覧ください。

Apple サポートは、Apple’s Safari 3.1.2 for Windows に存在する脆弱性に関する security advisory を発行しました。詳細は、Apple security advisory About the security content of Safari 3.1.2 for Windows (英語情報) をご覧ください。

緩和する要素:

Safari がダウンロードコンテンツを保存する場所を既定の設定から変更しているお客様は、この複合的な脅威の影響を受けません。

概説

概要

アドバイザリの目的: Windows プラットフォームに対する影響について、お客様へ最初の通知と詳細情報を提供するものです。

アドバイザリの状況: このアドバイザリを公開しました。

推奨する対応策: 必要に応じて、推奨するアクションを検討し、構成してください。

参照情報番号

マイクロソフト サポート技術情報

953818

マイクロソフト セキュリティ情報

MS09-014

マイクロソフト セキュリティ情報

MS09-015

CVE リファレンス

CVE-2008-2540

このアドバイザリは次のソフトウェアについて説明しています。

関連するソフトウェア

Windows XP Service Pack 2

Windows XP Service Pack 3

Windows XP Professional x64 Edition

Windows XP Professional x64 Edition Service Pack 2

Windows Vista

Windows Vista Service Pack 1

Windows Vista x64 Edition

Windows Vista x64 Edition Service Pack 1

Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 6

Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 7

Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition および Windows Vista x64 Edition Service Pack 1用の Internet Explorer 7

よく寄せられる質問

このアドバイザリの目的は何ですか?
このアドバイザリは、Windows XP および Windows Vista のサポートしているバージョンで、リモートでコードが実行することが可能になる複合的な脅威に関する一般に公開されたレポートについて説明しています。影響を受ける製品の一覧には、「概要」に記載の「関連するソフトウェア」をご覧ください。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか?
マイクロソフトはこの問題を解決するために、マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) を公開しました。

何が原因で起こりますか?
Safari が標準でダウンロードしたコンテンツを保存する場所と、Windows デスクトップが実行可能ファイルを扱う方法が組み合わされることによって複合的な脅威が生まれます。この脅威によりユーザーへの通知なくファイルがダウンロードされ、実行される可能性があります。個別のインストール可能な形態と、Apple Software Update を通じて提供されています。

この機能を悪用することにより攻撃者は何を行う可能性がありますか?
攻撃者は、特別な細工が施された Web サイトにユーザーを誘導しようとします。 そして、その特別な細工により、ユーザーの PC にコンテンツがダウンロードされ、実行される可能性があります。実行は、ログオンしているユーザーと同じ権限で行われます。

推奨するアクション

マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) で提供している更新プログラムでお客様の環境に該当するものを適用してください。

Windows 上で Apple Safari を使用している場合、そのバージョンが 3.1.2 以上であることを確認してください。 最新の Apple Safari の更新は Apple Safari のダウンロード サイト (英語情報) で利用可能です。

このアドバイザリに関連するマイクロソフト サポート技術情報を検討する

回避策

マイクロソフトは次の回避策のテストを行いました。 これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃方法を阻止する手助けとなります。 回避策が機能の低下の原因となる場合については、下記に示されています。

Safari がダウンロードしたコンテンツの保存先を新しく作成したディレクトリに変更する

1.

C:\SafariDownload などの新しいディレクトリを作成します。

2.

Safari 上で、メニューの [編集][設定...] を選択します。

3.

オプション画面内の「ダウンロードしたファイルの保存先:」 で新しく作成したディレクトリを選択します。

謝辞:

マイクロソフトと協力し、Safari および Microsoft Internet Explorer の複合的な脅威について報告してくださった Aviv Raff 氏

リソース:

フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター 利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンライン をご覧ください。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet セキュリティ センター では、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

2008/05/31: このアドバイザリを公開しました。

2008/06/09: 回避策の手順を一部修正し、謝辞の項目を追加しました。

2008/06/21: Apple が提供する Security Update へのリンクをお知らせするために、アドバイザリを更新しました。

2008/07/03: 「推奨するアクション」の欄を更新し、最新の Apple Safari のダウンロード サイトについてお知らせしました。

2009/04/15: このアドバイザリで説明している問題を解決する MS09-014 および MS09-015 へのリンクを追加しました。


ページのトップへページのトップへ