マイクロソフト セキュリティ アドバイザリ (953818)

Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威

マイクロソフトは、Apple 製 Safari を Windows XP および Windows Vista のサポートしているバージョンと組み合わせて使用した場合にリモートで攻撃することが可能な複合的な脅威に関する一般に公開されたレポートについて調査を行っています。Safari は、Windows XP および Windows Vista に標準ではインストールされていません。Safari をインストールするには、個別または、Apple Software Update を通じてインストールする必要があります。Safari を Windows 上で使用しているお客様は、このアドバイザリの内容をご確認ください。

マイクロソフトはこの問題を解決するために、マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) を公開しました。 セキュリティ更新プログラムのダウンロード リンクなどのこの問題に関する詳細情報は、MS09-014 および MS09-015 をご覧ください。

Apple サポートは、Apple’s Safari 3.1.2 for Windows に存在する脆弱性に関する security advisory を発行しました。詳細は、Apple security advisory About the security content of Safari 3.1.2 for Windows (英語情報) をご覧ください。

緩和する要素:

概説

概要

アドバイザリの目的: Windows プラットフォームに対する影響について、お客様へ最初の通知と詳細情報を提供するものです。

アドバイザリの状況: このアドバイザリを公開しました。

推奨する対応策: 必要に応じて、推奨するアクションを検討し、構成してください。

参照情報	番号
マイクロソフト サポート技術情報	953818
マイクロソフト セキュリティ情報	MS09-014
マイクロソフト セキュリティ情報	MS09-015
CVE リファレンス	CVE-2008-2540

このアドバイザリは次のソフトウェアについて説明しています。

関連するソフトウェア
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Vista
Windows Vista Service Pack 1
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1
Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 6
Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 7
Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition および Windows Vista x64 Edition Service Pack 1用の Internet Explorer 7

Top of section

よく寄せられる質問

このアドバイザリの目的は何ですか？
このアドバイザリは、Windows XP および Windows Vista のサポートしているバージョンで、リモートでコードが実行することが可能になる複合的な脅威に関する一般に公開されたレポートについて説明しています。影響を受ける製品の一覧には、「概要」に記載の「関連するソフトウェア」をご覧ください。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか？
マイクロソフトはこの問題を解決するために、マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) を公開しました。

何が原因で起こりますか？
Safari が標準でダウンロードしたコンテンツを保存する場所と、Windows デスクトップが実行可能ファイルを扱う方法が組み合わされることによって複合的な脅威が生まれます。この脅威によりユーザーへの通知なくファイルがダウンロードされ、実行される可能性があります。個別のインストール可能な形態と、Apple Software Update を通じて提供されています。

この機能を悪用することにより攻撃者は何を行う可能性がありますか？
攻撃者は、特別な細工が施された Web サイトにユーザーを誘導しようとします。 そして、その特別な細工により、ユーザーの PC にコンテンツがダウンロードされ、実行される可能性があります。実行は、ログオンしているユーザーと同じ権限で行われます。

Top of section

推奨するアクション

•	マイクロソフト セキュリティ情報 MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) および MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) で提供している更新プログラムでお客様の環境に該当するものを適用してください。
•	Windows 上で Apple Safari を使用している場合、そのバージョンが 3.1.2 以上であることを確認してください。 最新の Apple Safari の更新は Apple Safari のダウンロード サイト (英語情報) で利用可能です。
•	このアドバイザリに関連するマイクロソフト サポート技術情報を検討する

回避策

マイクロソフトは次の回避策のテストを行いました。 これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃方法を阻止する手助けとなります。 回避策が機能の低下の原因となる場合については、下記に示されています。

•	Safari がダウンロードしたコンテンツの保存先を新しく作成したディレクトリに変更する 1. C:\SafariDownload などの新しいディレクトリを作成します。 2. Safari 上で、メニューの [編集] – [設定...] を選択します。 3. オプション画面内の「ダウンロードしたファイルの保存先:」 で新しく作成したディレクトリを選択します。

Top of section

Top of section

謝辞:

リソース:

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

ページのトップへ