セキュリティ > セキュリティ情報検索

マイクロソフト セキュリティ情報 MS07-048 - 重要

Windows ガジェットの脆弱性により、リモートでコードが実行される (938123)

公開日: 2007年8月15日 | 最終更新日: 2007年8月15日

概説

要点

この深刻度が「重要」とされた更新プログラムは、調査の段階で特定された別の脆弱性と共に、非公開で報告された 2 件の脆弱性を解決します。これらの脆弱性で、匿名のリモートの攻撃者により、ログオンしたユーザーの特権でコードが実行される可能性があります。ユーザーがフィード ヘッドラインのガジェットの悪意のある RSS フィードを購読した場合、または悪意のある連絡先ファイルを連絡先のガジェットに追加した場合、もしくはユーザーが天気のガジェットの悪意のあるリンクをクリックした場合、攻撃者によりコンピュータでコードが実行される可能性があります。すべての攻撃方法において、コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

これはすべてのサポートされているエディションの Windows Vista 用の重要なセキュリティ更新プログラムです。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。

このセキュリティ更新プログラムはフィード ヘッドラインおよび連絡先のガジェット内での検証コードを改善することにより、この脆弱性を解決します。Inspect Your Gadget (英語情報) で、ガジェットを作成する時に考慮されるべきセキュアなプログラミングの最善策の概要が説明されています。

この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。

推奨する対応策: マイクロソフトはお客様に、できる限り早期にこの更新プログラムを適用することを推奨します。

既知の問題: マイクロソフト サポート技術情報 938123 には、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明されています。また、このサポート技術情報には、これらの問題に対する推奨される解決策に関する説明も記載されています。

US マイクロソフトセキュリティ情報: http://www.microsoft.com/technet/security/bulletin/MS07-048.mspx

Top of sectionTop of section

影響を受けるソフトウェアおよび影響を受けないソフトウェア

次の影響を受けるソフトウェアおよび影響を受けないソフトウェアの表では、サポート ライフサイクルが終了したソフトウェア バージョンは含んでいません。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイト をご覧ください。

影響を受けるソフトウェアおよびダウンロード先:

ダウンロードこのマークをクリックして、PC/AT 互換機用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

オペレーティング システムPC/AT最も深刻な脆弱性の影響総合的な深刻度この更新プログラムによって置き換えられるセキュリティ情報

Windows Vista

ダウンロード

リモートでコードが実行される

重要

なし

Windows Vista x64 Edition

ダウンロード

リモートでコードが実行される

重要

なし

影響を受けないソフトウェア

オペレーティング システム

Windows 2000 Server Service Pack 4

Windows 2000 Professional Service Pack 4

Windows XP Home Service Pack 2

Windows XP Professional Service Pack 2

Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems

Top of sectionTop of section

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題とは何ですか?
サポート技術情報 938123 で、このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題に関して説明しています。また、このサポート技術情報では、これらの問題に対する推奨される解決策に関しての説明も記載しています。詳細情報は、サポート技術情報 938123 をご覧ください。

なぜこの更新プログラムはいくつかの報告されたセキュリティ上の脆弱性を解決するのですか?
これらの問題を解決するために必要な変更が関連するファイルに存在するため、この更新プログラムはいくつかの脆弱性を解決します。ユーザーは、ほぼ同一のファイルを含むいくつもの更新プログラムをインストールする代わりに、この更新プログラムのみをインストールすることで問題に対処することができます。

この更新プログラムはそのほかのセキュリティ関連の変更を含みますか?
このセキュリティ情報の「脆弱性情報」セクションの下にエントリされた特定の脆弱性に関する「よく寄せられる質問 (FAQ)」 のサブセクションに記載された変更に加え、この更新プログラムは Windows の株価のガジェットへの多層防御の改善が含まれています。

Top of sectionTop of section

脆弱性の詳細

深刻度および脆弱性識別番号

影響を受けるソフトウェアごとの脆弱性の深刻度及び最も深刻な脆弱性の影響
影響を受けるソフトウェアWindows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性 - CVE-2007-3033Windows Vista の連絡先のガジェットのコードが実行される脆弱性 - CVE-2007-3032Windows Vista の天気のガジェットのリモートでコードが実行される脆弱性 - CVE-2007-3891総合的な深刻度

Windows Vista

重要

リモートでコードが実行される

警告

リモートでコードが実行される

警告

リモートでコードが実行される

重要

Windows Vista x64 Edition

重要

リモートでコードが実行される

警告

リモートでコードが実行される

警告

リモートでコードが実行される

重要

Top of sectionTop of section

Windows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性 - CVE-2007-3033

Windows Vista のフィード ヘッドラインのガジェットにリモートでコードが実行される脆弱性が存在し、リモートの匿名の攻撃者により、ログオンしたユーザーの特権でコードが実行される可能性があります。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2007-3033 をご覧ください。

「Windows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性」の問題を緩和する要素 - CVE-2007-3033:

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

ユーザーが Internet Explorer を使用してフィード ヘッドラインのガジェットの信頼できない、または侵害された RSS フィードを購読することが攻撃者にとっての必要条件となります。

Top of sectionTop of section

「Windows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性」の回避策 - CVE-2007-3033:

回避策は、設定または構成の変更を示しており、基本的な脆弱性を正すものではありませんが、更新プログラムを適用する前に既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは、以下の回避策を検証し、この回避策が機能性を低下させるかどうかについて、説明の部分で述べています。

フィード ヘッドラインのガジェットを無効にする:

フィード ヘッドラインのガジェットを無効にするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [プロパティ] を選択します。

3.

Windows サイドバーのプロパティのダイアログで、[実行中のガジェットの一覧を表示する] ボタンをクリックします。

4.

[フィード ヘッドライン] のガジェットを選択し、[削除] ボタンをクリックします。

回避策の影響 : フィード ヘッドラインのガジェットが無効になります。

フィード ヘッドラインのガジェットをアンインストールする:

フィード ヘッドラインのガジェットをアンインストールするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [ガジェットの追加] を選択します。

3.

[フィード ヘッドライン] のガジェットを右クリックします。

4.

メニューから [アンインストール] を選択します。

回避策の影響 : フィード ヘッドラインのガジェットがアンインストールされます。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更する:

この回避策を適用すると、このセキュリティ情報で提供されているセキュリティ更新プログラムのインストールが失敗する可能性があります。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更するには、次のステップに従ってください。

1.

[スタート] をクリックし、[すべてのプログラム] から [アクセサリ] をクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックし、次に [続行] をクリックします。

2.

コマンド プロンプトで、次のコマンドを入力します。
cd %ProgramFiles%\Windows Sidebar\Gadgets\RSSFeeds.Gadget\ja-JP

3.

コマンド プロンプトで以下のコマンドを入力します。その後、この変更を元に戻す時のために、ファイル上の現在の ACL (継承された設定を含む) のメモをとってください。
takeown /f gadget.xml

4.

次のコマンドをコマンド プロンプトで入力し、フィード ヘッドラインのガジェットの ACL を変更します。その後、この変更を元に戻す時のため、ファイル (継承された設定を含む) 上の現在の ACL のメモをとってください。
icacls gadget.xml /deny Everyone:(R,RX)

5.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

回避策の影響 : フィード ヘッドラインのガジェットが無効になります。

グループ ポリシーのサイド バーを無効にする:

グループポリシーのサイド バーを無効にするためには、次のステップに従ってください。

1.

[スタート] をクリックし、[ファイル名を指定して実行] をクリックして、"gpedit.msc" (二重引用符は必要ありません) と入力し [OK] をクリックします。[続行] をクリックします。

2.

[ローカル コンピュータ ポリシー\コンピュータの構成] の下で [管理用テンプレート] をダブル クリックし、[Windows コンポーネント] をダブル クリックし、次に [Windows サイド バー] をクリックします。

3.

[Windows サイド バーをオフにする] を右クリックします。

4.

メニューから [プロパティ] を選択します。

5.

[有効] のボタンを選択して、[OK] をクリックします。

回避策の影響 : サイド バーが無効になります。

システム レジストリで Windows Vista のサイド バーを無効にする:

新しいレジストリ キーを作成することにより、サイド バーを無効にすると、この脆弱性の悪用から影響を受けるコンピュータを保護する手助けとなります。新しいサイド バーのレジストリ キーを作成するためには、これらのステップに従ってください。

注: レトリ エディタの不正確な使用は、オペレーティング システムの再インストールが必要となる深刻な問題の原因となる可能性があります。マイクロソフトはレジストリ エディタの不正確な使用が原因となる問題の解決に対し、保証することはできません。レジストリ エディタは、お客様各自の責任において使用してください。レジストリの編集方法に関する情報は、レジストリ エディタ (Regedit.exe) の "キーおよび値を変更する" ヘルプ トピックをご覧ください。または Regedt32.exe の "レジストリ情報の追加と削除" および "レジストリ情報の編集" ヘルプ トピックをご覧ください。

注: マイクロソフトはレジストリの編集を行う前に、そのバックアップを行うことを推奨します。

1.

[スタート] メニューの [ファイル名を指定して実行] に "regedit" (二重引用符は必要ありません) と入力し、 [OK] をクリックします。[続行] をクリックします。

2.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion を展開し、Policies をクリックします。

3.

Policies を右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Windows と入力します。

4.

Windows キーを右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Sidebar と入力します。

5.

Sidebar キーを右クリックし、[新規] をポイントして、[DWORD (32 ビット) 値] を選択し、[名前] として TurnOffSidebar と入力します。

6.

TurnOffSidebar をダブル クリックし、[値のデータ] を 1 に変更します。

7.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

回避策の影響 : サイド バーが無効になります。

Top of sectionTop of section

「Windows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性」のよく寄せられる質問 - CVE-2007-3033:

どのようなことが起こる可能性がありますか?
これはリモートでコードが実行される脆弱性です。この脆弱性で、攻撃者により、影響を受けるコンピュータでコードが実行される可能性があります。

何が原因で起こりますか?
フィード ヘッドラインのガジェットが HTML の属性を解析する際に十分な検証を行わないため、この脆弱性が起こります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
この脆弱性で、攻撃者により、影響を受けるコンピュータでコードが実行される可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
フィード ヘッドラインのガジェットは Windows Vista にインストールされていますが、既定で有効ではありません。ユーザーは Internet Explorer を使用してフィード ヘッドラインのガジェットの RSS フィードを購読する必要があります。フィードが購読されると、コンピュータが悪用されるには、攻撃者は、既存の購読を悪用して特別な細工がされた RSS フィードを送信することが攻撃者にとっての必要条件となります。次に攻撃者は、インターネットを通して悪意のあるフィードまたは特別な細工がされたフィードから、ログオンしたユーザーのコンテキストでコードを実行する可能性があります。

ガジェットとは何ですか?
ガジェットとはユーザーに情報またはユーティリティを提供するよう設計された小さいアプリケーションです。Windows Vista は Windows Vista がそのほかのすべての実行可能コードを処理する方法と同様にガジェットを処理します。ガジェットは HTML およびスクリプトを使用して書かれていますが、この HTML は Web ページのように任意のリモート サーバーに配置されてはいません。ガジェットの HTML コンテンツはまずリソースおよび構成ファイルのパッケージの一部としてダウンロードされ、ローカル コンピュータから実行されます。このダウンロード プロセスはインターネットからアプリケーション (.exe ファイル) がダウンロードされるのに類似しています。

この脆弱性がインターネットで悪用される可能性はありますか?
はい。この脆弱性はユーザーがフィード ヘッドラインのガジェットで悪意のある RSS フィードを購読する、または、信頼されるフィードが攻撃者により侵害された場合、インターネットで悪用される可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?
フィード ヘッドラインのガジェットが有効で、RSS フィードを購読するすべての Windows Vista コンピュータがこの脆弱性による危険にさらされます。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、フィード ヘッドラインのガジェット内の HTML 属性にさらにチェックを追加することにより、この脆弱性を排除します。

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に知られていたという情報は受けていませんでした。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか? ?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。

Top of sectionTop of section
Top of sectionTop of section

Windows Vista の連絡先のガジェットのコードが実行される脆弱性 - CVE-2007-3032

Windows Vista の連絡先のガジェットにコードが実行される脆弱性が存在し、攻撃者により、ログオンしたユーザーの特権でコードが実行される可能性があります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2007-3032 をご覧ください。

「Windows Vista の連絡先のガジェットのコードが実行される脆弱性」の問題を緩和する要素 - CVE-2007-3032:

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

連絡先のガジェットは既定で有効ではありません。この脆弱性が悪用されるには、ユーザーが連絡先のガジェットを Windows サイド バーに追加することが攻撃者にとっての必要条件となります。

連絡先のガジェットが有効である場合、ユーザーが攻撃者からの特別な細工がされた悪意のある連絡先を追加またはインポートすることが攻撃者にとっての必要条件となります。

Top of sectionTop of section

「Windows Vista の連絡先のガジェットのコードが実行される脆弱性」の回避策 - CVE-2007-3032:

回避策は、設定または構成の変更を示しており、基本的な脆弱性を正すものではありませんが、更新プログラムを適用する前に既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは、以下の回避策を検証し、この回避策が機能性を低下させるかどうかについて、説明の部分で述べています。

連絡先のガジェットを無効にする:

フィード ヘッドラインのガジェットを無効にするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [プロパティ] を選択します。

3.

Windows サイドバーのプロパティのダイアログで、[実行中のガジェットの一覧を表示する] ボタンをクリックします。

4.

[連絡先] のガジェットを選択し、[削除] ボタンをクリックします。

回避策の影響 : 連絡先のガジェットが無効になります。

連絡先のガジェットをアンインストールする:

連絡先のガジェットをアンインストールするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [ガジェットの追加] を選択します。

3.

[連絡先] のガジェットを右クリックします。

4.

メニューから [アンインストール] を選択します。

回避策の影響 : 連絡先のガジェットがアンインストールされます。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更する:

この回避策を適用すると、このセキュリティ情報で提供されているセキュリティ更新プログラムのインストールが失敗する可能性があります。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更するには、次のステップに従ってください。

1.

[スタート] をクリックし、[すべてのプログラム] から [アクセサリ] をクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックし、次に [続行] をクリックします。

2.

コマンド プロンプトで、次のコマンドを入力します。
cd %ProgramFiles%\Windows Sidebar\Gadgets\Contacts.Gadget\ja-JP

3.

コマンド プロンプトで以下のコマンドを入力します。その後、この変更を元に戻す時のために、ファイル上の現在の ACL (継承された設定を含む) のメモをとってください。
takeown /f gadget.xml

4.

次のコマンドをコマンド プロンプトで入力し、フィード ヘッドラインのガジェットの ACL を変更します。その後、この変更を元に戻す時のため、ファイル (継承された設定を含む) 上の現在の ACL のメモをとってください。
icacls gadget.xml /deny Everyone:(R,RX)

5.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

回避策の影響 : フィード ヘッドラインのガジェットが無効になります。

グループ ポリシーのサイド バーを無効にする:

グループポリシーのサイド バーを無効にするためには、次のステップに従ってください。

1.

[スタート] をクリックし、[ファイル名を指定して実行] をクリックして、"gpedit.msc" (二重引用符は必要ありません) と入力し [OK] をクリックします。[続行] をクリックします。

2.

[ローカル コンピュータ ポリシー\コンピュータの構成] の下で [管理用テンプレート] をダブル クリックし、[Windows コンポーネント] をダブル クリックし、次に [Windows サイド バー] をクリックします。

3.

[Windows サイド バーをオフにする] を右クリックします。

4.

メニューから [プロパティ] を選択します。

5.

[有効] のボタンを選択して、[OK] をクリックします。

回避策の影響 : サイド バーが無効になります。

システム レジストリで Windows Vista のサイド バーを無効にする:

新しいレジストリ キーを作成することにより、サイド バーを無効にすると、この脆弱性の悪用から影響を受けるコンピュータを保護する手助けとなります。新しいサイド バーのレジストリ キーを作成するためには、これらのステップに従ってください。

注: レトリ エディタの不正確な使用は、オペレーティング システムの再インストールが必要となる深刻な問題の原因となる可能性があります。マイクロソフトはレジストリ エディタの不正確な使用が原因となる問題の解決に対し、保証することはできません。レジストリ エディタは、お客様各自の責任において使用してください。レジストリの編集方法に関する情報は、レジストリ エディタ (Regedit.exe) の "キーおよび値を変更する" ヘルプ トピックをご覧ください。または Regedt32.exe の "レジストリ情報の追加と削除" および "レジストリ情報の編集" ヘルプ トピックをご覧ください。

注: マイクロソフトはレジストリの編集を行う前に、そのバックアップを行うことを推奨します。

1.

[スタート] メニューの [ファイル名を指定して実行] に "regedit" (二重引用符は必要ありません) と入力し、 [OK] をクリックします。[続行] をクリックします。

2.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion を展開し、Policies をクリックします。

3.

Policies を右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Windows と入力します。

4.

Windows キーを右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Sidebar と入力します。

5.

Sidebar キーを右クリックし、[新規] をポイントして、[DWORD (32 ビット) 値] を選択し、[名前] として TurnOffSidebar と入力します。

6.

TurnOffSidebar をダブル クリックし、[値のデータ] を 1 に変更します。

7.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

回避策の影響 : サイドバーが無効になります。

Top of sectionTop of section

「Windows Vista の連絡先のガジェットのコードが実行される脆弱性」のよく寄せられる質問 - CVE-2007-3032:

どのようなことが起こる可能性がありますか?
これはコードが実行される脆弱性です。この脆弱性で、攻撃者は、ログオンしたユーザーのコンテキストで影響を受けるコンピュータでコードを実行する可能性があります。

何が原因で起こりますか?
連絡先のガジェットが、インポート時に十分な検証を行わないため、この脆弱性が起こります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
この脆弱性で、攻撃者は、ログオンしたユーザーのコンテキストで影響を受けるコンピュータでコードを実行する可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
連絡先のガジェットは Windows Vista にインストールされていますが、既定で有効ではありません。連絡先のガジェットを有効にするためには、ユーザーの操作が必要です。特別な細工がされた連絡先を影響を受けるコンピュータに送信するか、またはユーザーに特別な細工がされた連絡先がダウンロードされる Web ページを訪問させることが攻撃者にとっての必要条件となります。また、ユーザーが悪意のある連絡先を追加することが攻撃者にとっての必要条件となります。連絡先が追加、またはインポートされると、その連絡先が選択された場合、またはその連絡先が一覧の最初の連絡先である場合、攻撃者により、ログオンしたユーザーのコンテキストでコードが実行される可能性があります。

ガジェットとは何ですか?
ガジェットとはユーザーに情報またはユーティリティを提供するよう設計された小さいアプリケーションです。Windows Vista は Windows Vista がそのほかのすべての実行可能コードを処理する方法と同様にガジェットを処理します。ガジェットは HTML およびスクリプトを使用して書かれていますが、この HTML は Web ページのように任意のリモート サーバーに配置されてはいません。ガジェットの HTML コンテンツはまずリソースおよび構成ファイルのパッケージの一部としてダウンロードされ、ローカル コンピュータから実行されます。このダウンロード プロセスはインターネットからアプリケーション (.exe ファイル) がダウンロードされるのに類似しています。

この脆弱性がインターネットで悪用される可能性はありますか?
はい。この脆弱性はユーザーがインターネットから悪意のある連絡先のファイルを連絡先のガジェットに追加またはインポートした場合、インターネットで悪用される可能性があります。この連絡先が選択される、または一覧の最初の連絡先であることが攻撃者にとっての必要条件となります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?
連絡先のガジェットが有効にされているすべての Windows Vista がこの脆弱性による危険にさらされます。

この更新プログラムはどのように問題を修正しますか?
このセキュリティ更新プログラムは、連絡先のガジェット内のインポートされた連絡先について、さらにチェックを追加することにより、この脆弱性を解決します。

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に知られていたという情報は受けていませんでした。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか? ?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。

Top of sectionTop of section
Top of sectionTop of section

Windows Vista の天気のガジェットのリモートでコードが実行される脆弱性 - CVE-2007-3891

Windows Vista の天気のガジェットにリモートでコードが実行される脆弱性が存在し、攻撃者により、ログオンしたユーザーの特権でコードが実行される可能性があります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2007-3891 をご覧ください。

「Windows Vista の天気のガジェットのリモートでコードが実行される脆弱性」の問題を緩和する要素 - CVE-2007-3891:

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

天気のガジェットの既定の表示では、リンクは見えません。天気のガジェット内のリンクを表示するためには、ユーザーはデスクトップに天気のガジェットをドラッグ アンド ドロップする必要があります。

天気のガジェットで提供される天気のサービスはすべての地域で利用可能というわけではありません。

Top of sectionTop of section

「Windows Vista の天気のガジェットのリモートでコードが実行される脆弱性」の回避策 - CVE-2007-3891:

回避策は、設定または構成の変更を示しており、基本的な脆弱性を正すものではありませんが、更新プログラムを適用する前に既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは、以下の回避策を検証し、この回避策が機能性を低下させるかどうかについて、説明の部分で述べています。

天気のガジェットを無効にする:

天気のガジェットを無効にするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [プロパティ] を選択します。

3.

Windows サイドバーのプロパティのダイアログで、[実行中のガジェットの一覧を表示する] ボタンをクリックします。

4.

[天気] のガジェットを選択し、[削除] ボタンをクリックします。

回避策の影響 : 天気のガジェットが無効になります。

天気のガジェットをアンインストールする:

天気のガジェットをアンインストールするためには、次のステップに従ってください。

1.

[サイドバー] を右クリックします。

2.

メニューから [ガジェットの追加] を選択します。

3.

[天気] のガジェットを右クリックします。

4.

メニューから [アンインストール] を選択します。

回避策の影響 : 天気のガジェットがアンインストールされます。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更する:

この回避策を適用すると、このセキュリティ情報で提供されているセキュリティ更新プログラムのインストールが失敗する可能性があります。

gadget.xml のアクセス制御リスト (ACL) をさらに制限するために変更するには、次のステップに従ってください。

1.

[スタート] をクリックし、[すべてのプログラム] から [アクセサリ] をクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックし、次に [続行] をクリックします。

2.

コマンド プロンプトで、次のコマンドを入力します。
cd %ProgramFiles%\Windows Sidebar\Gadgets\Weather.Gadget\ja-JP

3.

コマンド プロンプトで以下のコマンドを入力します。その後、この変更を元に戻す時のために、ファイル上の現在の ACL (継承された設定を含む) のメモをとってください。
takeown /f gadget.xml

4.

次のコマンドをコマンド プロンプトで入力し、フィード ヘッドラインのガジェットの ACL を変更します。その後、この変更を元に戻す時のため、ファイル (継承された設定を含む) 上の現在の ACL のメモをとってください。
icacls gadget.xml /deny Everyone:(R,RX)

5.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

回避策の影響 : フィード ヘッドラインのガジェットが無効になります。

グループ ポリシーのサイド バーを無効にする:

グループポリシーのサイド バーを無効にするためには、次のステップに従ってください。

1.

[スタート] をクリックし、[ファイル名を指定して実行] をクリックして、"gpedit.msc" (二重引用符は必要ありません) と入力し [OK] をクリックします。[続行] をクリックします。

2.

[ローカル コンピュータ ポリシー\コンピュータの構成] の下で [管理用テンプレート] をダブル クリックし、[Windows コンポーネント] をダブル クリックし、次に [Windows サイド バー] をクリックします。

3.

[Windows サイド バーをオフにする] を右クリックします。

4.

メニューから [プロパティ] を選択します。

5.

[有効] のボタンを選択して、[OK] をクリックします。

回避策の影響 : サイド バーが無効になります。

システム レジストリで Windows Vista のサイド バーを無効にする:

新しいレジストリ キーを作成することにより、サイド バーを無効にすると、この脆弱性の悪用から影響を受けるコンピュータを保護する手助けとなります。新しいサイド バーのレジストリ キーを作成するためには、これらのステップに従ってください。

注: レトリ エディタの不正確な使用は、オペレーティング システムの再インストールが必要となる深刻な問題の原因となる可能性があります。マイクロソフトはレジストリ エディタの不正確な使用が原因となる問題の解決に対し、保証することはできません。レジストリ エディタは、お客様各自の責任において使用してください。レジストリの編集方法に関する情報は、レジストリ エディタ (Regedit.exe) の "キーおよび値を変更する" ヘルプ トピックをご覧ください。または Regedt32.exe の "レジストリ情報の追加と削除" および "レジストリ情報の編集" ヘルプ トピックをご覧ください。

注: マイクロソフトはレジストリの編集を行う前に、そのバックアップを行うことを推奨します。

1.

[スタート] メニューの [ファイル名を指定して実行] に "regedit" (二重引用符は必要ありません) と入力し、 [OK] をクリックします。[続行] をクリックします。

2.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion を展開し、Policies をクリックします。

3.

Policies を右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Windows と入力します。

4.

Windows キーを右クリックし、[新規] をポイントして、[キー] を選択し、キー名に Sidebar と入力します。

5.

Sidebar キーを右クリックし、[新規] をポイントして、[DWORD (32 ビット) 値] を選択し、[名前] として TurnOffSidebar と入力します。

6.

TurnOffSidebar をダブル クリックし、[値のデータ] を 1 に変更します。

7.

この回避策の適用後、コンピュータをログオフするか、または sidebar.exe プロセスを閉じる必要があります。

Top of sectionTop of section

「Windows Vista の天気のガジェットのリモートでコードが実行される脆弱性」のよく寄せられる質問 - CVE-2007-3891:

どのようなことが起こる可能性がありますか?
これはリモートでコードが実行される脆弱性です。この脆弱性で、攻撃者により、影響を受けるコンピュータでコードが実行される可能性があります。

何が原因で起こりますか?
天気のガジェットが HTML の属性を解析する際に十分な検証を行わないため、この脆弱性が起こります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
この脆弱性で、攻撃者により、影響を受けるコンピュータでコードが実行される可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性が悪用されるには、ユーザーの接続を侵害し、ユーザーに天気のガジェットの悪意のあるリンクをクリックさせることが攻撃者にとっての必要条件となります。天気のガジェット内のリンクを表示するためには、ユーザーはまず、デスクトップに天気のガジェットをドラッグ アンド ドロップする必要があります。天気のガジェットの既定の表示では、リンクは見えません。

ガジェットとは何ですか?
ガジェットとはユーザーに情報またはユーティリティを提供するよう設計された小さいアプリケーションです。Windows Vista は Windows Vista がそのほかのすべての実行可能コードを処理する方法と同様にガジェットを処理します。ガジェットは HTML およびスクリプトを使用して書かれていますが、この HTML は Web ページのように任意のリモート サーバーに配置されてはいません。ガジェットの HTML コンテンツはまずリソースおよび構成ファイルのパッケージの一部としてダウンロードされ、ローカル コンピュータから実行されます。このダウンロード プロセスはインターネットからアプリケーション (.exe ファイル) がダウンロードされるのに類似しています。

この脆弱性がインターネットで悪用される可能性はありますか?
いいえ。匿名の攻撃者により、この脆弱性がインターネットで悪用されることはないと考えられます。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?
天気のガジェットがデスクトップで実行されており、リンクが見えるすべての Windows Vista コンピュータがこの脆弱性による危険にさらされます。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、天気のガジェット内の HTML 属性にさらにチェックを追加することにより、この脆弱性を排除します。

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に知られていたという情報は受けていませんでした。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか? ?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。

Top of sectionTop of section
Top of sectionTop of section

セキュリティ更新プログラムに関する情報

検出および展開ツールとガイダンス

組織のサーバー、デスクトップ、モバイル コンピュータに適用する必要があるソフトウェアおよびセキュリティ更新プログラムを管理してください。詳細情報は、TechNet 更新プログラム管理センターをご覧ください。TechNet セキュリティ センター Web サイトでは、製品に関するセキュリティ情報を提供しています。

セキュリティ更新プログラムは Microsoft UpdateWindows Update および Office Update から利用可能です。セキュリティ更新プログラムはMicrosoft Download Center からダウンロードすることができます。「security_patch」のキーワード探索によって容易に見つけることができます。さらに、セキュリティ更新プログラムは Windows Update カタログからダウンロードできます。Windows Update カタログに関する詳細情報は、サポート技術情報 323166 をご覧ください。

検出および展開のガイダンス

マイクロソフトは今月のセキュリティ更新プログラムについての検出および適用のガイダンスを提供しています。このガイダンスは、IT Pro がセキュリティ更新プログラムを適用する際に役立つ、Windows Update、Microsoft Update、Office Update、Microsoft Baseline Security Analyzer (MBSA)、Office 検出ツール、 Microsoft Systems Management Server (SMS)、Extended Security Update Inventory Tool および Enterprise Update Scan Tool (EST) など、様々なツールの使用方法を理解するのに役立ちます。詳細情報は、サポート技術情報 910723 をご覧ください。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) により、管理者は一般的なセキュリティの誤構成だけでなく、不足しているセキュリティ更新プログラムについても、ローカルおよびリモートのコンピュータをスキャンできます。MBSA の詳細情報については、 Microsoft Baseline Security Analyzer (MBSA) Web サイト をご覧ください。以下の表では、このセキュリティ更新プログラム用の MBSA が検出する概要を提供しています。

ソフトウェアMBSA 1.2.1MBSA 2.0.1

Windows Vista

不可

下記の Windows Vista についての注意をご覧ください

Windows Vista x64 Edition

不可

下記の Windows Vista についての注意をご覧ください

Windows Vista についての注意: MBSA 2.0.1 は Windows Vista ではサポートされませんが、Windows Vista を実行しているコンピュータのリモート スキャンはサポートします。Windows Vista についての MBSA のサポートに関する詳細情報は、MBSA Web サイト をご覧ください。また、マイクロソフト サポート技術情報 931943: 「Microsoft Baseline Security Analyzer (MBSA) での Windows Vista のサポート」もご参照ください。

MBSA に関する詳細は、MBSA Web サイトをご覧ください。Microsoft Update および MBSA 2.0 が現在検出しないプログラムに関する詳細情報は、サポート技術情報 895660 をご覧ください。

Windows Server Update Services

Windows Server Update Services (WSUS) を使用することにより、管理者は Windows 2000 オペレーティング システムおよびそれ以降、Office XP およびそれ以降、Windows 2000 およびそれ以降のオペレーティングシステムに対する Exchange Server 2003 および SQL Server 2000 用の最新の重要な更新プログラムおよびセキュリティ更新プログラムを迅速に、かつ確実に適用することができます。Windows Server Update Services でこのセキュリティ更新プログラムを適用する方法に関する情報は、次のマイクロソフトの Web サイト をご覧ください。Windows Server Update Services 製品概要

Systems Management Server

次の表に、このセキュリティ更新プログラムについての SMS の検出および展開のまとめを記載します。

ソフトウェアSMS 2.0SMS 2003

Windows Vista

不可

下記の Windows Vista についての注意をご覧ください

Windows Vista x64 Edition

不可

下記の Windows Vista についての注意をご覧ください

SMS 2.0 および SMS 2003 Software Update Services (SUS) Feature Pack は、MBSA 1.2.1 を使用して検出を行っているので、MBSA 1.2.1 が検出しないプログラムに関し、このセキュリティ情報の上部に記載している一覧と同じ制限があります。

SMS 2.0 について、Security Update Inventory Tool (SUIT) が含まれている SMS SUS Feature Pack は、セキュリティ更新プログラムを検出するために SMS により使用されます。SMS SUIT は検出のために MBSA 1.2.1 エンジンを使用します。SUIT に関する詳細は、次のサポート技術情報 894154 をご覧ください。SUIT の制限に関する詳細情報は、306460 をご覧ください。また SMS SUS Feature Pack も Microsoft Office アプリケーションに必要な更新プログラムを検出するための Microsoft Office Inventory Tool が含まれています。

SMS 2003 について、SMS 2003 Inventory Tool for Microsoft Updates (ITMU) は、Microsoft Update により提供されるセキュリティ更新プログラムおよび Windows Server Update Services よりサポートされるセキュリティ更新プログラムを検出するために、SMS により使用されます。 SMS 2003 ITMU に関する詳細は、次の マイクロソフトの Web サイト をご覧ください。 また SMS 2003 も Microsoft Office Inventory Tool を使用して Microsoft Office アプリケーションに必要な更新プログラムを検出することができます。

Windows Vista についての注意: Microsoft Systems Management Server 2003 Service Pack 3 は、Windows Vista の管理をサポートしています。

SMS に関する詳細情報は、次の SMS Web サイトをご覧ください。

Top of sectionTop of section

セキュリティ更新プログラムの展開

影響を受けるソフトウェア

影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。

Windows Vista (すべてのエディション)

参照表

次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。

参照表
この修正を含む予定のサービスパック 

この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。

展開 

ユーザーによる操作を必要としないインストール

サポートされているすべての 32-bit エディションの Windows Vista:
Windows6.0-KB938123-x86.msu /quiet

サポートされているすべての 64-bit エディションの Windows Vista:
Windows6.0-KB938123-x64.msu /quiet

再起動しないインストール

サポートされているすべての 32-bit エディションの Windows Vista:
Windows6.0-KB938123-x86.msu /norestart

サポートされているすべての 64-bit エディションの Windows Vista:
Windows6.0-KB938123-x64.msu /norestart

詳細

「検出および展開ツールとガイダンス」のセクションをご覧ください。

再起動に関する情報 

再起動の必要性

あり。セキュリティ更新プログラムを適用してから、コンピュータを再起動する必要があります。

ホットパッチ

対象外

削除に関する情報 

更新プログラムを削除するためには、[コントロール パネル] をクリックし、[セキュリティ] をクリックし、[Windows Update] の下の [インストールされている更新プログラムの表示] をクリックし、更新プログラムの一覧から選択します。

ファイル情報 

完全なファイル マニフェストについては、このセクション内のサブセクション「ファイル情報」をご覧ください。

: この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。更新プログラムがインストールされているかどうかを検出するためには、Windows Management Instrumentation (WMI) (英語情報) を使用してください。

ファイル情報

このセキュリティ更新プログラムの日本語版のファイル属性は次のとおりです。

サポートされているすべての 32-bit エディションの Windows Vista:

ファイル名日付時間サイズフォルダ

contacts.css

2007/07/20

11:31

1,189

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_6a15386416536bb2

contacts.html

2007/07/20

11:20

11,919

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_6a15386416536bb2

contacts.js

2007/07/20

11:30

22,828

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_6a15386416536bb2

gadget.xml

2007/07/20

11:19

1,063

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_6a15386416536bb2

contacts.css

2007/07/20

11:34

1,189

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6a85342f2f84de02

contacts.html

2007/07/20

11:24

11,919

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6a85342f2f84de02

contacts.js

2007/07/20

11:33

22,828

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6a85342f2f84de02

gadget.xml

2007/07/20

11:22

1,063

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6a85342f2f84de02

flyout.css

2007/07/20

11:30

3,128

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

flyout.html

2007/07/20

11:27

1,648

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

gadget.xml

2007/07/20

11:22

1,001

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

rssfeeds.css

2007/07/20

11:25

2,898

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

rssfeeds.html

2007/07/20

11:21

9,754

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

rssfeeds.js

2007/07/20

11:27

99,964

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

settings.css

2007/07/20

11:28

1,298

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

settings.html

2007/07/20

11:29

3,254

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

settings.js

2007/07/20

11:23

5,914

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_581c740216c9f5e2

flyout.css

2007/07/20

11:33

3,128

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

flyout.html

2007/07/20

11:30

1,648

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

gadget.xml

2007/07/20

11:25

1,001

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

rssfeeds.css

2007/07/20

11:28

2,898

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

rssfeeds.html

2007/07/20

11:24

9,754

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

rssfeeds.js

2007/07/20

11:31

99,964

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

settings.css

2007/07/20

11:32

1,298

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

settings.html

2007/07/20

11:32

3,254

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

settings.js

2007/07/20

11:26

5,914

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_588c6fcd2ffb6832

docked.js

2007/07/20

11:28

201,350

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

gadget.xml

2007/07/20

11:32

926

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

localization.js

2007/07/20

11:31

4,004

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

settings.css

2007/07/20

11:32

1,342

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

settings.html

2007/07/20

11:32

3,954

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

stocks.css

2007/07/20

11:17

5,412

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

stocks.html

2007/07/20

11:18

6,928

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

stocks.js

2007/07/20

11:19

80,502

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

undocked.js

2007/07/20

11:17

296,038

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

util.js

2007/07/20

11:21

20,874

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_9225b4e4600eaab4

docked.js

2007/07/20

11:31

201,350

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

gadget.xml

2007/07/20

11:35

926

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

localization.js

2007/07/20

11:35

4,004

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

settings.css

2007/07/20

11:35

1,342

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

settings.html

2007/07/20

11:35

3,954

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

stocks.css

2007/07/20

11:20

5,412

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

stocks.html

2007/07/20

11:21

6,928

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

stocks.js

2007/07/20

11:22

80,502

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

undocked.js

2007/07/20

11:21

296,038

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

util.js

2007/07/20

11:24

20,874

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_9295b0af79401d04

gadget.xml

2007/07/20

11:23

1,772

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

library.js

2007/07/20

11:25

36,084

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

localizedstrings.js

2007/07/20

11:28

4,900

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

settings.css

2007/07/20

11:30

8,246

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

settings.html

2007/07/20

11:23

5,078

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

settings.js

2007/07/20

11:29

44,870

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

weather.css

2007/07/20

11:23

22,838

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

weather.html

2007/07/20

11:19

13,004

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

weather.js

2007/07/20

11:29

78,056

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_63c275b08ca3a67d

gadget.xml

2007/07/20

11:26

1,772

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

library.js

2007/07/20

11:28

36,084

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

localizedstrings.js

2007/07/20

11:31

4,900

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

settings.css

2007/07/20

11:33

8,246

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

settings.html

2007/07/20

11:26

5,078

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

settings.js

2007/07/20

11:32

44,870

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

weather.css

2007/07/20

11:26

22,838

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

weather.html

2007/07/20

11:23

13,004

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

weather.js

2007/07/20

11:33

78,056

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_6432717ba5d518cd

サポートされているすべての 64-bit エディションの Windows Vista:

ファイル名日付時間サイズCPUフォルダ

contacts.css

2007/07/20

12:42

1,189

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_c633d3e7ceb0dce8

contacts.html

2007/07/20

12:31

11,919

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_c633d3e7ceb0dce8

contacts.js

2007/07/20

12:40

22,828

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_c633d3e7ceb0dce8

gadget.xml

2007/07/20

12:29

1,063

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_c633d3e7ceb0dce8

contacts.css

2007/07/20

12:34

1,189

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c6a3cfb2e7e24f38

contacts.html

2007/07/20

12:23

11,919

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c6a3cfb2e7e24f38

contacts.js

2007/07/20

12:33

22,828

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c6a3cfb2e7e24f38

gadget.xml

2007/07/20

12:22

1,063

x64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c6a3cfb2e7e24f38

flyout.css

2007/07/20

12:40

3,128

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

flyout.html

2007/07/20

12:37

1,648

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

gadget.xml

2007/07/20

12:32

1,001

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

rssfeeds.css

2007/07/20

12:35

2,898

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

rssfeeds.html

2007/07/20

12:32

9,754

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

rssfeeds.js

2007/07/20

12:38

99,964

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

settings.css

2007/07/20

12:39

1,298

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

settings.html

2007/07/20

12:40

3,254

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

settings.js

2007/07/20

12:33

5,914

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_b43b0f85cf276718

flyout.css

2007/07/20

12:33

3,128

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

flyout.html

2007/07/20

12:29

1,648

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

gadget.xml

2007/07/20

12:25

1,001

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

rssfeeds.css

2007/07/20

12:28

2,898

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

rssfeeds.html

2007/07/20

12:24

9,754

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

rssfeeds.js

2007/07/20

12:30

99,964

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

settings.css

2007/07/20

12:31

1,298

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

settings.html

2007/07/20

12:32

3,254

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

settings.js

2007/07/20

12:25

5,914

x64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_b4ab0b50e858d968

docked.js

2007/07/20

12:38

201,350

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

gadget.xml

2007/07/20

12:43

926

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

localization.js

2007/07/20

12:42

4,004

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

settings.css

2007/07/20

12:43

1,342

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

settings.html

2007/07/20

12:42

3,954

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

stocks.css

2007/07/20

12:28

5,412

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

stocks.html

2007/07/20

12:29

6,928

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

stocks.js

2007/07/20

12:29

80,502

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

undocked.js

2007/07/20

12:28

296,038

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

util.js

2007/07/20

12:31

20,874

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_ee445068186c1bea

docked.js

2007/07/20

12:30

201,350

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

gadget.xml

2007/07/20

12:35

926

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

localization.js

2007/07/20

12:34

4,004

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

settings.css

2007/07/20

12:35

1,342

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

settings.html

2007/07/20

12:34

3,954

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

stocks.css

2007/07/20

12:20

5,412

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

stocks.html

2007/07/20

12:21

6,928

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

stocks.js

2007/07/20

12:22

80,502

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

undocked.js

2007/07/20

12:20

296,038

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

util.js

2007/07/20

12:24

20,874

x64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_eeb44c33319d8e3a

gadget.xml

2007/07/20

12:33

1,772

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

library.js

2007/07/20

12:35

36,084

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

localizedstrings.js

2007/07/20

12:39

4,900

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

settings.css

2007/07/20

12:40

8,246

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

settings.html

2007/07/20

12:34

5,078

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

settings.js

2007/07/20

12:39

44,870

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

weather.css

2007/07/20

12:33

22,838

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

weather.html

2007/07/20

12:30

13,004

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

weather.js

2007/07/20

12:40

78,056

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528_ja-jp_bfe11134450117b3

gadget.xml

2007/07/20

12:25

1,772

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

library.js

2007/07/20

12:27

36,084

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

localizedstrings.js

2007/07/20

12:31

4,900

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

settings.css

2007/07/20

12:32

8,246

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

settings.html

2007/07/20

12:26

5,078

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

settings.js

2007/07/20

12:31

44,870

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

weather.css

2007/07/20

12:26

22,838

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

weather.html

2007/07/20

12:22

13,004

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

weather.js

2007/07/20

12:32

78,056

x64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644_ja-jp_c0510cff5e328a03

注意: サポートされているバージョンおよび影響を受けるエディションの完全な一覧は、サポート ライフサイクル - 製品名一覧をご覧ください。サービスパックの完全な一覧は、ライフサイクル サポート対象サービスパックをご覧ください。サポート ライフサイクル ポリシーに関する詳細については、マイクロソフト サポート ライフサイクルをご覧ください。

Top of sectionTop of section
展開に関する情報

更新プログラムのインストール

これらのセキュリティ更新プログラムをインストールするとき、コンピュータ上のアップデート対象ファイルのいずれかが、マイクロソフトの修正プログラムによって過去にアップデートされているかどうかがチェックされます。

過去に修正プログラムをインストールしてこれらのファイルのいずれかをアップデートしている場合は、インストーラはこの更新プログラムの LDR バージョンを適用します。または、インストーラはこの更新プログラムの GDR バージョンを適用します。この動作に関する詳細情報は、サポート技術情報 824994 をご覧ください。

: インストーラに関する詳細情報は、サポート技術情報 934307 をご覧ください。

このセキュリティ情報で使用されている用語 (修正プログラムなど) に関しては、サポート技術情報 824684 をご覧ください。

このセキュリティ更新プログラムは次のセットアップ スイッチをサポートします。

サポートされているセキュリティ更新プログラムのインストールスイッチ
スイッチ説明

/?、/h、/help

サポートされているスイッチでヘルプを表示します。

/quiet

状態またはエラー メッセージを表示しません。

/norestart

/quiet と組み合わされた場合、コンピュータはインストールを完了するために再起動が必要であっても、インストール後に再起動しません。

更新プログラムが適用されたかどうかを確認する方法

Microsoft Baseline Security Analyzer

影響を受けるコンピュータにセキュリティ更新プログラムがインストールされていることを確認するためには、Microsoft Baseline Security Analyzer (MBSA) ツールが使用できます。詳細については、このセキュリティ情報の上部にある「検出および展開ツールとガイダンス」のセクションをご覧ください。

ファイルバージョンの確認

Microsoft Windows にはいくつかのエディションがあるため、次のステップは使用中のコンピュータにより異なる場合があります。その場合、製品の説明書をご覧ください。

1.

[スタート] をクリックし、[検索の開始] に更新ファイル名を入力します。

2.

[プログラム] の下にファイルが表示されたら、ファイル名を右クリックし、[プロパティ] をクリックします。

: インストールされているオペレーティング システムまたはプログラムのバージョンにより、ファイル情報の一覧に記載されているファイルで、インストールされないものがある場合もあります。

3.

[全般] タブで、適切なファイル情報の一覧に記載されている変更された日付と比較し、コンピュータにインストールされているファイルの変更された日付を確認します。なお、このパッケージのファイルにはバージョン番号がありません。

: ファイルのバージョン以外の属性はインストール中に変更される場合があります。そのほかのファイルの属性をファイル情報の表の情報と比較することは、更新プログラムが適用されたことを確認する方法として推奨されていません。しかし、このセキュリティ更新プログラムで更新されるファイルはファイルのバージョンの情報を含まないため、更新プログラムを検証するために、使用されるファイルのバージョン情報以外の属性の情報を使用することが更新を確認する方法となります。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

その他の情報

謝辞

この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。

「Windows Vista の連絡先のガジェットのリモートでコードが実行される脆弱性 - CVE-2007-3032 の を報告してくださった Finjan の Aviv Raff 氏

「Windows Vista のフィード ヘッドラインのガジェットのリモートでコードが実行される脆弱性」 - CVE-2007-3033 の を報告してくださった iDefense Labs の Joshua J. Drake 氏

Top of sectionTop of section

サポート

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。
マイクロソフト セキュリティ情報センター マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償でサポートをご提供いたします。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Top of sectionTop of section

免責条項

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

Top of sectionTop of section

更新履歴

2007/08/15: このセキュリティ情報ページを公開しました。

Top of sectionTop of section

ページのトップへページのトップへ