Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft® Outlook Express® をインストールされているお客様
脆弱性の影響 : リモートでコードが実行される
最大深刻度: 緊急
推奨する対応策 : お客様は直ちにこの累積的な更新プログラムをインストールして下さい。
含まれる過去の更新プログラム : このセキュリティ更新プログラムは、MS03-014 でリリースされた Outlook Express 用の累積的なセキュリティ更新プログラムおよび以前にリリースされた Outlook Express のすべての累積的なセキュリティ更新プログラムを置き換えるものです。
警告 : なし
テストしたソフトウェアおよび更新プログラムのダウンロード先
影響を受けるソフトウェア :
| • | Microsoft Windows NT® Workstation 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6 |
| • | Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 |
| • | Microsoft Windows XP, Microsoft Windows XP Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition Version 2003 |
| • | Microsoft Windows Server® 2003 |
| • | Microsoft Windows Server 2003, 64-Bit Edition |
| • | Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition - このプラット フォームに関する詳細は、「よく寄せられる質問」をご覧ください。 |
テストした Microsoft Windows のコンポーネント :
影響を受けるコンポーネント :
この問題に対する修正は、MS04-018 以降の累積的な更新プログラムに含まれました。最新の累積的な更新プログラムは、Microsoft Update または、こちらの Web サイトから入手できます。
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
| PC/AT およびPC-9800 | |
Microsoft Outlook Express 5.5 SP2 |
|
Microsoft Outlook Express 6 |
|
Microsoft Outlook Express 6 SP1 |
|
Microsoft Outlook Express 6 SP1 (64 Bit Edition) |
|
Windows Server 2003 上の Microsoft Outlook Express 6 |
|
Windows Server 2003 (64 Bit Edition) 上の Microsoft Outlook Express 6 |
|
このマークをクリックして、更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
| • | Microsoft Update 利用の手順 |
上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。
ご使用中の製品およびバージョンのサポート ライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクル の Web サイトをご覧下さい。
詳細
技術的な詳細 |
このセキュリティ更新プログラムに関するよく寄せられる質問 |
脆弱性の詳細 |
MHTML URL のプロセスの脆弱性 - CAN-2004-0380: |
特別な細工がされた MHTML URL が処理される方法に、リモートでコードが実行される脆弱性が存在します。それにより、Internet Explorer のマイ コンピュータのセキュリティ ゾーンで攻撃者の HTML コードが実行される可能性があります。これにより、攻撃者によって該当のコンピュータの完全な制御が取得される可能性があります。
「MHTML URL のプロセスの脆弱性」の問題を緩和する要素 - CAN-2004-0380: |
「MHTML URL のプロセスの脆弱性」の回避策 - CAN-2004-0380 |
「MHTML URL のプロセスの脆弱性」のよく寄せられる質問 - CAN-2004-0380: |
セキュリティ更新プログラムに関する情報 |
必要条件 :
マイクロソフトは、この脆弱性による影響を受けるかどうかを確認し、このセキュリティ情報で説明されている更新プログラムがこの脆弱性を解決することを確認するため、このセキュリティ情報に記載されている Windows および Outlook Express のテストを行いました。
Outlook Express 6 Service Pack 1 (SP1) 用の更新プログラムをインストールするには、以下の Windows のバージョンのいずれかで、Internet Explorer 6 SP1 (バージョン 6.00.2800.1106) を実行していることが必要となります。
| • | Microsoft Windows 98 |
| • | Microsoft Windows 98 Second Edition |
| • | Microsoft Windows Millennium Edition |
| • | Microsoft Windows NT® Workstation 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6 |
| • | Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 |
| • | Microsoft Windows XP |
| • | Microsoft Windows XP Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition, Service Pack 1 |
この更新プログラムの、Windows Server 2003 向けの Outlook Express 6 用バージョンをインストールするには、Windows Server 2003 (32-bit または 64-bit) 上で Internet Explorer 6 (バージョン 6.00.3790.0000) を実行するか、または Windows XP 64-Bit Edition, Version 2003 上で Internet Explorer 6 (バージョン 6.00.3790.0000) を実行している必要があります。
この更新プログラムの Outlook Express 6 用のバージョンをインストールするには、32-bit 版の Windows XP 上で Internet Explorer 6 (バージョン 6.00.2600.0000) を実行している必要があります。
この更新プログラムの Outlook Express 5.5 用のバージョンをインストールするには、以下のバージョンのいずれかを実行している必要があります。
| • | Windows 2000 SP4 上で Internet Explorer 5.01 Service Pack 4 (バージョン 5.00.3700.1000) を実行 |
| • | Windows 2000 SP3 上で Internet Explorer 5.01 Service Pack 3 (バージョン 5.00.3502.1000) を実行 |
| • | Windows Millennium Edition 上で Internet Explorer 5.5 Service Pack 2 (バージョン 5.50.4807.2300) を実行 |
注 : このページに記載されていない Windows、Outlook Express および Internet Explorer のバージョンはサポートの対象となっていません。このページで説明されているアップデート パッケージの中には、Windows および Outlook Express のそれらのサポート対象外のバージョンにインストールできるものがありますが、マイクロソフトはそれらのバージョンが、この脆弱性による影響を受けるかどうか、またはこの更新プログラムがこの脆弱性を解決するかどうかを確認するためのテストを行っていません。マイクロソフトは、Windows および Outlook Express のサポートされるバージョンにアップグレードし、適切な更新プログラムを適用することを推奨いたします。
実行している Internet Explorer のバージョンを確認する方法は、マイクロソフト サポート技術情報 164539 をご覧ください。
Windows コンポーネントのサポート ライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクル の Web サイトをご覧下さい。
Internet Explorer 6 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 328548 をご覧ください。
Internet Explorer 5.5 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 276369 をご覧ください。
Internet Explorer 5.01 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 267954 をご覧ください。
再起動の必要性 :
この更新プログラムの適用後に、コンピュータの再起動を必要としない場合があります。しかし、必要なファイルが使用中の場合、この更新プログラムを適用後、再起動をする必要があります。この場合、コンピュータを再起動する必要があることを示すメッセージが表示されます。この更新プログラムでは、コンピュータを再起動した後、管理者ログオンを使用する必要はありません。
このセキュリティ更新プログラムの Windows Server 2003 のバージョン (Windows XP 64-Bit Edition, Version 2003 を含む) では、以下のセットアップ スイッチがサポートされます。
/help: インストール スイッチの一覧を表示します
セットアップモード
/quiet: QUIET モード (ユーザー入力を必要としません。表示もしません)
/passive: 無人モード (進行状況バーのみ)
/uninstall: パッケージをアンインストールします
再起動オプション
/norestart: インストールの完了後、再起動しません
/forcerestart: インストール後、再起動します
特別なオプション
/l: インストール済みの Windows 更新プログラムまたは更新パッケージを表示します
/o: 確認メッセージを表示せずに OEM ファイルを上書きします
/n: アンインストールに必要なファイルのバックアップを作成しません
/f: シャットダウン時に他のプログラムを強制終了します
注 : これらのスイッチを 1 つのコマンド ラインに組み込むことができます。 旧バージョンとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンによって使用されるセットアップ スイッチもサポートしています。サポートされるインストール スイッチについての追加情報はマイクロソフト サポート技術情報 262841 をご覧ください。
適用に関する情報 :
ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、Windows Server 2003 のコマンド プロンプトで、次のコマンド ラインを使用してください。
Windows Server 2003 32 ビット用のこのセキュリティ更新プログラムをユーザーの操作なしでインストールするためには、次のコマンドラインを使用して下さい。
windowsserver2003-kb837009-x86-jpn.exe /quiet /passive
コンピュータを強制的に再起動させないでこのセキュリティ更新プログラムをインストールするためには、次のコマンドラインを使用して下さい。
windowsserver2003-kb837009-x86-jpn.exe /norestart
注 : これらのスイッチを 1 つのコマンド ラインに組み込むことができます。過去のものとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンにより使用されるセットアップ スイッチもサポートします。しかし、このサポートは今後のセキュリティ更新プログラムで削除される可能性があるため、これらの以前のスイッチの使用は停止して下さい。
この累積的なセキュリティ更新プログラムのためのほかのアップデート パッケージでは、以下のセットアップ スイッチがサポートされます。
/q: ファイルが抽出される時、自動モードを使用、またはメッセージを表示しません
/q:u: User-Quiet モードを使用します。User-Quiet モードはユーザーにいくつかのダイアログ ボックスを表示します
/q:a: Use Administrator-Quiet モードを使用します。Administrator-Quiet モードはユーザーにダイアログ ボックスを表示しません
/t: path: セットアップまたはファイルの抽出のターゲットフォルダにより使用される一時フォルダの場所を指定します (/c スイッチを使用する場合)
/c: ファイルをインストールせずに抽出します。/t: path スイッチを指定していない場合、ターゲットフォルダについて確認メッセージが表示されます
/c: path: Setup .inf ファイルまたは .exe ファイルのパスおよび名前を指定します
/r:n: インストール後、コンピュータを再起動しません
/r:i: 再起動が必要である場合、ユーザーにコンピュータを再起動するよう確認メッセージを表示します (このスイッチが /q:a スイッチと使用される場合を除く)
/r:a: インストール後、コンピュータを常に再起動します
/r:s: ユーザーに確認メッセージを表示せずに、インストール後コンピュータを再起動します
/n:v: バージョンをチェックしません
注 : セットアップ スイッチに関する詳細は、マイクロソフト サポート技術情報 197147 をご覧ください。
たとえば、ユーザーの操作なしで、またコンピュータの再起動を強制せずにこの更新プログラムをインストールするためには、次のコマンドラインを使用して下さい。
q837009.exe /q:a /r:n
更新プログラムが正しくインストールされたかどうか確認する方法 :
コンピュータにこの累積的な更新プログラムがコンピュータにインストールされたことを確認するためには、次のステップにしたがってください。
| • | Internet Explorer を起動し、[ヘルプ] を選択し、Internet Explorer の [バージョン情報] をクリックします。[更新バージョン] のフィールドに Q837009 が表示されていることを確認して下さい。ただし、この方法は Windows Server 2003 または Windows XP 64-Bit Edition Version 2003 では使用できません。これらのオペレーティング システム用のパッケージをインストールしても [更新バージョン] フィールドは更新されないためです。 |
| • | 使用しているコンピュータ上の更新されたファイルのバージョンをこの資料の 「ファイル情報」 に記載されているファイルと比較します。 |
| • | 以下のレジストリ エントリが存在することを確認します。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix\KB837009
上記以外のバージョンの Windows の場合:
以下のレジストリ キーに IsInstalled 値 (DWORD) があり、データ値が 1 に設定されていることを確認します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{ 2cc9d512-6db6-4f1c-8979-9a41fae88de0}
削除に関する情報 :
この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [アプリケーションの追加と削除] で [Outlook Express Q837009] をクリックし、[変更と削除] または [追加と削除] をクリックします。
Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 の場合、システム管理者は Spunist.exe ユーティリティを使用してこの更新プログラムを削除することができます。Spuninst.exe プログラムは %Windir%\$NTUninstallKB837009$\Spuninst フォルダにあります。このユーティリティでは、以下のセットアップ スイッチがサポートされています。
/?: インストール スイッチの一覧を表示します
/u: 無人モードで実行します
/f: コンピュータがシャット ダウンする時、そのほかのプログラムを強制的に閉じます
/z: インストールの完了時に再起動しません
/q: Quiet モードで実行します (ユーザー入力を必要としません)
その他のバージョンの Windows の場合、システム管理者は ieuninst.exe ユーティリティを使用してこの更新プログラムを削除することができます。ieuninst.exe プログラムは %Windir% フォルダの中にあり、以下のコマンド ライン スイッチをサポートしています。
/?: サポートされているスイッチの一覧を表示します
/z: インストールの完了時に再起動しません
/q: Quiet モードで実行します (ユーザー入力を必要としません)
たとえば、この更新プログラムをメッセージなしで削除するためには、次のコマンドを使用して下さい。
c:\windows\ieuninst /q c:\windows\inf\q837009.inf
注 : 上記のコマンド ラインでは、Windows が C:\Windows フォルダにインストールされていることを前提としています。
ファイル情報 :
この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。
注 : ファイルの依存関係のため、これらの更新プログラムには他のファイルも含まれていることがあります。
オペレーティング システムに特有のセキュリティ更新プログラムに関する詳細は、適切なリンクをクリックしてください。
Windows XP、Windows XP SP1、Windows 2000 SP2、Windows 2000 SP3、Windows 2000 SP4、Windows NT 4.0 SP6a、Windows 98、Windows 98 SE および Windows ME 上の Outlook Express 6 SP1 |
Windows XP 64-Bit Edition Service Pack 1 の Outlook Express 6 SP1 (64-Bit) |
Windows XP の Outlook Express 6 |
Windows 2003 の Outlook Express 6 |
Windows 2003 64-Bit Versions および Windows XP 64-Bit Edition, Version 2003 上の Outlook Express 6 (64-Bit) |
Windows 2000 SP3、Windows 2000 SP4、Windows Millennium Edition 上の Outlook Express 5.5 SP2 |
Windows XP 64-Bit Edition Version 2003 (英語版) 用のセキュリティ更新プログラムをインストールするとき、コンピュータ上のアップデート対象ファイルのいずれかが、マイクロソフトの更新プログラムによって過去にアップデートされているかどうかがチェックされます。過去に更新プログラムをインストールしてこれらのファイルのいずれかをアップデートしている場合は、RTMQFE ファイルがコンピュータにコピーされます。それ以外の場合は、RTMGDR ファイルがコンピュータにコピーされます。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
824994 Windows Server 2003 製品アップデート パッケージの内容に関する説明
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
| • | セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。 |
| • | コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。 |
| • | 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。 |
他のセキュリティ情報 :
| • | Microsoft TechNet Security センター では、製品に関するセキュリティ情報を提供しています。 |
| • | Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/ |
| • | Microsoft Baseline Security Analyzer (MBSA) : http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。 |
| • | Windows Update カタログ : http://support.microsoft.com/kb/323166 |
| • | Microsoft Update : http://update.microsoft.com/microsoftupdate/ |
| • | Office のアップデート : http://office.microsoft.com/officeupdate/ |
サポート :
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
詳細情報 :
| • | US マイクロソフトセキュリティ情報(MS04-013) |
| • | サポート技術情報 (KB) 文書番号 : 837009 |
更新履歴 :
| • | 2004/04/14 : このセキュリティ情報ページを公開しました。 |
| • | 2004/04/20: Outlook Express 5.5 SP2 の 「ファイル情報」 を修正しました。 |
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。