Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft® Internet Explorer® を使用しているお客様
脆弱性の影響 : リモートでコードが実行される
最大深刻度 : 緊急
推奨する対応策 : お客様は、このセキュリティ更新プログラムを直ちに適用して下さい。
含まれる過去のセキュリティ更新プログラム : この更新プログラムは、マイクロソフト セキュリティ情報 MS04-004 で提供された累積的な更新プログラムを含みます。
警告 : このセキュリティ情報のリリース後、マイクロソフトは、新しいバージョンの Windows Update である Windows Update Version 5 を実行している Windows XP を使用しているお客様に提供された更新プログラムが、このセキュリティ情報で解決される脆弱性についての最終リリース コードを含んでいないことを確認しました。マイクロソフトはこの更新プログラムを修正し、このセキュリティ情報を再リリースし、Windows Update Version 5 を使用しているお客様のための修正された更新プログラムが利用可能となったことをお知らせします。Windows Update Version 4 を使用しているお客様はこの修正の影響は受けません。
この累積的な更新プログラムは MS04-004 以降に提供された Internet Explorer 用の修正プログラムを一部含みます。MS04-004 リリース以降、マイクロソフトまたはサポート プロバイダから修正プログラムを受け取ったお客様はこの更新プログラムの「よく寄せられる質問」を確認し、この更新プログラムが、使用しているオペレーティング システムにどのような影響を及ぼすかを検討して下さい。
テストしたソフトウェアおよび更新プログラムのダウンロード先 :
影響を受けるソフトウェア :
| • | Microsoft Windows NT® Workstation 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6 |
| • | Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 |
| • | Microsoft Windows XP, Microsoft Windows XP Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition Version 2003 |
| • | Microsoft Windows Server® 2003 |
| • | Microsoft Windows Server 2003, 64-Bit Edition |
テストした Microsoft Windows および Officeコンポーネント :
影響を受けるコンポーネント:
この問題に対する修正は、MS04-038 以降の累積的な更新プログラムに含まれました。最新の累積的な更新プログラムは、Microsoft Update または、こちらの Web サイトから入手できます。
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
| PC/AT および PC-9800 | |||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
|
このマークをクリックして、PC/AT 互換機用および NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
| • | Microsoft Update 利用の手順 |
上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧下さい。
詳細
要点 |
この累積的な更新プログラムは新しく確認された、いくつかの脆弱性を解決します。各脆弱性はこのセキュリティ情報の「脆弱性の詳細」欄に説明されています。
ユーザーが管理者特権でログオンしている場合、攻撃者によりこれらの脆弱性の中で最も深刻な脆弱性が悪用されると、プログラムのインストール、データの表示、変更または削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータで完全な制御が取得される可能性があります。コンピュータでほとんど特権を持たないように構成されているアカウントを持つユーザーは、管理者特権で操作を行うユーザーよりも、危険にさらされる可能性は低くなります。
マイクロソフトはお客様にこのセキュリティ更新プログラムの適用を検討することを推奨します。
深刻度および脆弱性識別番号 :
| 脆弱性識別番号 | 脆弱性の影響 | Internet Explorer 5.01 SP2、SP3、SP4 | Internet Explorer 5.5 SP2 | Internet Explorer 6 | Internet Explorer 6 SP1 (Windows Server 2003 以前のすべてのバージョン) | Internet Explorer 6 for Windows Server 2003 (64-bit Edition を含む) |
ナビゲーション メソッドのクロス ドメインの脆弱性 – CAN-2004-0549 | リモートでコードが実行される | なし | 緊急 | 緊急 | 緊急 | 警告 |
不正な BMP ファイルのバッファ オーバーランの脆弱性 – CAN-2004-0566 | リモートでコードが実行される | 緊急 | 緊急 | 緊急 | なし | なし |
不正な GIF ファイルのダブル フリーの脆弱性 – CAN-2003-1048 | リモートでコードが実行される | 緊急 | 緊急 | 緊急 | 緊急 | 緊急 |
すべての脆弱性の総合的な深刻度– | - | 緊急 | 緊急 | 緊急 | 緊急 | 緊急 |
この評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
このセキュリティ更新プログラムに関するよく寄せられる質問 |
なぜこの更新プログラムは再リリースされたのですか?
このセキュリティ情報のリリース後、マイクロソフトは、新しいバージョンの Windows Update である Windows Update Version 5 を実行している Windows XP を使用しているお客様に提供された更新プログラムが、このセキュリティ情報で説明されている脆弱性についての適切な修正を含んでいないことを確認しました。マイクロソフトは、この更新プログラムを修正し、このセキュリティ情報を再リリースし、修正された更新プログラムが利用可能となったことをお知らせします。Windows Update Version 5 を実行しており、自動更新を有効にしているお客様には、修正された更新プログラムが自動的に提供されるため、アクションを行う必要はありません。Windows Update を手動で使用しており、Window Update Version5 を実行しているお客様は Windows Update サイトで修正された更新プログラムをダウンロードする必要があります。
Windows Update Version 5 を実行しているかどうかをどのように確認するのですか?
ホーム ページに [高速インストール] の矢印が表示されているかどうかを調べることにより、Windows Update Version 5 を使用しているかどうかを確認することができます。ホーム ページに [高速インストール] の矢印が表示されている場合、Windows Update Version 5 がインストールされています。[高速インストール] の矢印が表示されている場合、リンクをクリックすると、新しい更新プログラムが提供されます。[高速インストール] のリンクが Windows Update のページに表示されていない場合、Windows Update Version 5 は実行されておらず、影響は受けません。
Windows Update Version 5 とは何ですか?
Windows Update Version 5 とは、今週からお客様への提供が開始された Windows Update の最新のバージョンです。Windows Update Version 5 にはいくつかの向上点があり、ユーザーがコンピュータをセキュリティで保護することを保つ手助けをするばかりではなく、使用および Web サイトの検索をさらに容易にします。Windows Update サイトは現在、お客様のニーズに最も見合う更新プログラムを迅速に検出するため、使用が容易な 2 つのインストール オプションを提供しています。それは [高速インストール] と [カスタム インストール] です。WU および AU の両方は現在、ダイヤル アップおよび低帯域ユーザーに最適化されます。たとえば、インターネット接続が切断された場合、ダウンロードは、最近のダウンロード セッションで停止した時点から再度開始されます。新しいホームページのデザインおよびナビゲーションの分類もまた Windows Update の操作をさらに容易にし、自動更新など、関連するお客様へのご提案でよりよい統合を提供します。
Windows Update Version 5 を使用していませんが、これはどのように入手するのですか?
Windows XP を使用しており、自動更新をオンにしている場合、数週間以内に自動的に Windows Update Version 5 が提供されます。自動更新をオンにしていない場合、ユーザーへの最初の自動更新の提供が完了した後、Windows Update サイトを訪問すると Windows Update Version 5 にアップグレードされます。これはさらに数週間かかると予測されます。
Software Update Services (SUS) を使用してセキュリティ更新プログラムを適用している場合、この更新プログラムを再適用する必要がありますか?
いいえ。SUS は Windows Update の技術を応用してセキュリティ更新プログラムの適用を支援していますが、SUS は Windows Update Version 5 を使用していません。このため、この更新プログラムの再リリースによる影響はありません。
Systems Management Services (SMS) を使用してセキュリティ更新プログラムを適用している場合、この更新プログラムを再適用する必要がありますか?
いいえ。この問題は具体的には Windows Update Version 5 に影響を及ぼします。SMS を使用しているお客様にはまったく影響はありません。
なぜこの累積的な更新プログラムはいくつかの報告されたセキュリティ上の脆弱性を解決するのですか?
この累積的な更新プログラムは、これらの問題を解決するために必要となる変更が関連ファイルに配置されているため、いくつかの脆弱性のサポートを含みます。いくつかの更新プログラムをほとんど同時にインストールする必要はなく、お客様はこの累積的な更新プログラムのみをインストールすることができます。
この累積的な更新プログラムはどの更新プログラムに置き換わるものですか?
これは、以前にリリースされた Internet Explorer 用のすべての更新プログラムの機能を含む累積的な更新プログラムです。置き換わる以前の Internet Explorer 用の更新プログラムについて、該当するセキュリティ情報の ID 番号およびオペレーティング システムを次の表に記載します。
| セキュリティ情報番号 | Internet Explorer 5.01 SP2、SP3、SP4 | Internet Explorer 5.5 SP2 | Internet Explorer 6 | Internet Explorer 6 SP1 (Windows Server 2003 以前のすべてのバージョン) | Internet Explorer 6 for Windows Server 2003 (64-bit Edition を含む) |
置き換わる | 置き換わる | 置き換わる | 置き換わる | 置き換わる |
MS04-004 のリリース以降、マイクロソフトまたはサポートプロバイダから修正プログラムを受け取りましたが、この修正プログラムは今回のセキュリティ更新プログラムに含まれていますか?
いいえ、含まれません。Microsoft Windows Server 2003 または Microsoft Windows 64-Bit Edition Version 2003 以外のすべてのオペレーティング システムについて、MS04-004 以降に作成された修正プログラムはこの累積的な更新プログラムに含まれていません。これらの修正プログラムを含む修正プログラムのロールアップが利用可能です。詳細情報は、担当のマイクロソフトサポート プロバイダにお問い合わせ下さい。または、サポート技術情報 871260 をご覧下さい。
MS04-004 以降にリリースされた Internet Explorer 用の更新プログラムをインストールしています。この更新プログラムは、この累積的な更新プログラムに含まれていますか?
はい。MS04-004 以降にリリースされた Internet Explorer 用の更新プログラムは、この累積的な更新プログラムに含まれています。この累積的な更新プログラムには次の更新プログラムが含まれています。
| • | マイクロソフト サポート技術情報 831167 「Web サイトにログオンできない、インターネット トランザクションを完了できない、または HTTP 500 (内部サーバー エラー) ページが表示される」で提供された Internet Explorer 6 Service Pack 1 用の更新プログラム |
| • | マイクロソフト サポート技術情報 837209 「HTTPS Web ページが Internet Explorer 5.5 で完全にダウンロードしません。」で提供されたInternet Explorer 5.5 Service Pack 2 用の更新プログラム |
| • | マイクロソフト サポート技術情報 839571 「接続は、 LAN 自動構成とプロキシ設定を Windows Server 2003 の使用しません。」で提供されたInternet Explorer 6 for Windows Server 2003 用の更新プログラム |
| • | マイクロソフト サポート技術情報 817786 「Internet Explorer での Web ページを更新すると、アクセス違反が発生します。」で提供された Internet Explorer 6 for Windows Server 2003 用の更新プログラム |
Windows XP Service Pack 1 を実行しており、マイクロソフトサポート技術情報840309に関連する修正プログラムをプレミアサポートプロフェッショナルから受け取りました。この場合、この累積的な更新プログラムを適用する前に何をする必要がありますか?
マイクロソフトサポート技術情報 840309 の修正プログラムをインストールしたお客様は、この累積的な更新プログラムのインストール後、デスクトップのスタートアップに問題が発生する場合があります。840309 が更新され、これらの現象を回避するための回避策が提供されています。
この累積的な更新プログラムはそのほかのセキュリティ上の変更を含みますか?
はい。この累積的な更新プログラムは 2 つの追加のセキュリティ上の変更を含みます。この累積的な更新プログラムは Internet Explorer 6 Service Pack 1 で行われた変更 (インターネット ゾーンの Web ページがマイ コンピュータ ゾーンに接続することを防ぐ) を改良します。この変更は潜在的な新しいクロス ドメインの脆弱性による影響を緩和するために導入されました。この累積的な更新プログラムに導入された変更は Internet Explorer 6 Service Pack 1 の制限をさらに向上させます。この累積的な更新プログラムは Internet Explorer のクロス ドメイン セキュリティ モデルをさらに強化します。この変更はマイクロソフト サポート技術情報 875345 に説明されています。
Windows 98、Windows 98 Second Edition および Windows Millennium Edition のサポートの延長により、これらのオペレーティングシステム用のセキュリティ更新プログラムのリリースにどのような影響がありますか?
マイクロソフトは、これらのオペレーティングシステム上で、深刻度が「緊急」のセキュリティ問題がある場合にのみ、セキュリティ更新プログラムをリリースする予定です。このサポート期間中は、「緊急」以外のセキュリティ問題のための更新プログラムは提供されません。これらのオペレーティングシステムについてのサポートライフサイクルのより詳細な情報は、次の Web サイト をご覧下さい。
深刻度の評価に関する詳細情報は、次の Web サイトをご覧下さい。
注 : これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムは、このセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムとは同時に利用可能とならない場合があります。これらはセキュリティ情報のリリース後、可能な限り早期に利用可能となります。これらのセキュリティ更新プログラムが利用可能となると、Windows Update サイトからのみ、ダウンロード可能となります。
Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこの累積的な更新プログラムで解決される脆弱性による深刻な影響を受けますか?
はい。Windows 98、Windows 98 Second Edition および Windows Millennium Edition はこの脆弱性による深刻な影響を受けます。これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムはこのセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムと同時に利用可能とならない場合があります。これらはセキュリティ情報のリリース後、可能な限り早期に利用可能となります。これらのセキュリティ更新プログラムが利用可能となると、Windows Update サイトからのみ、ダウンロード可能となります。深刻度評価システムに関する詳細情報は、次の Web サイトをご覧下さい。
Microsoft Windows NT 4.0 Workstation Service Pack 6a または Windows 2000 Service Pack 2 を現在でも使用していますが、延長されたセキュリティ更新プログラムのサポートは 2004 年 6 月 30 日に終了しました。しかし、このセキュリティ情報では、なぜこれらのオペレーティングシステムのバージョンにセキュリティ更新プログラムが提供されているのですか?
Windows NT 4.0 Workstation Service Pack 6a および Windows 2000 Service Pack 2 は以前よりご説明しておりますとおり、ライフサイクルは終了しました。また、マイクロソフトはこのサポートを 2004 年 6 月 30 日まで延長しました。しかし、延長サポート期間の終了はごく最近のものです。今回のケースでは、この脆弱性を解決するために必要なステップのほとんどが、 2004 年 6 月 30 日以前に完了しました。このため、マイクロソフトは、このセキュリティ情報の一部としてこれらのオペレーティングシステム用のセキュリティ更新プログラムのリリースを決定しました。マイクロソフトは、今後これらのオペレーティングシステムに影響を及ぼす脆弱性に対し、このような対応を予定していませんが、必要であると判断した場合、更新プログラムの開発および利用可能とする権利を保留としています。
今後の脆弱性の影響を受ける可能性を防ぐため、これらのオペレーティングシステムを使用しているお客様は、バージョンをサポートの対象となっているバージョンに移行することが第一です。Windows 製品ライフサイクルに関する詳細情報は、マイクロソフト サポート ライフサイクルの Web サイトをご覧下さい。これらのオペレーティングシステムのバージョンについて、延長されたセキュリティ更新プログラムのサポート期間に関する詳細情報は、Microsoft Product Support Services Web サイトをご覧下さい。
Windows NT Workstation 4.0 SP6a の追加サポート (カスタムサポート) が必要なお客様は、担当営業、または マイクロソフト アカウント チームの担当者、担当テクニカル アカウント マネージャ (TAM)、またはカスタム サポート オプションのマイクロソフト パートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター (営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253) までお問い合わせください。詳細情報は、Windows オペレーティング システム FAQ をご覧下さい。
Microsoft Baseline Security Analyzer (MBSA) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?
MBSA はこの更新プログラムが必要であるかどうかを確認します。MSBA に関する詳細情報は、MBSA Web サイトをご覧下さい。
注意 : 2004 年 7 月 14 日をもって、以前のバージョンの SMS 2.0 Software Update Services Feature Pack、 SMS 2003 Software Update Scanning Tools、MBSA 1.1.1 および、それ以前のバージョンによって使用される Mssecure.xml ファイルの更新を終了するしたため、2004 年 7 月 15 日以降、新たなセキュリティ情報のデータでが更新されていません。そのため、2004 年 7 月 15 日以降、MBSA 1.1.1 またはそれ以前のバージョンのデータで行われるスキャンは、不完全となる場合がございます。 MBSA 1.2 でより正確なセキュリティ更新プログラムの検出が行われ、サポートされる製品もより多いため、すべてのユーザーは、MBSA 1.2 にアップグレードをすることを推奨いたします。MBSA 1.2 は,MBSA Web サイトからダウンロードすることができます。MBSA のサポートに関する詳細は、Microsoft Baseline Security Analyzer (MBSA) Version 1.2 Q&A をご覧ください。
Systems Management Server (SMS) を使用して、この累積的な更新プログラムが必要であるかどうかを確認することはできますか?
はい、できます。SMS はこのセキュリティ更新プログラムの検出および適用の手助けとなります。SMS に関する情報は、SMS の Web サイトをご覧下さい。
脆弱性の詳細 |
ナビゲーション メソッドのクロス ドメインの脆弱性 - CAN-2004-0549: |
Internet Explorer がナビゲーション メソッドを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者は、ユーザーが Web サイトを訪問すると、リモートでコードが実行される悪質な Web ページを作成することにより、この脆弱性を悪用する可能性があります。この脆弱性で、攻撃者は Internet Explorer のマイ コンピュータ ゾーンで悪質なスクリプト コードを実行する可能性があります。ユーザーが管理者特権でログオンしている場合、この脆弱性により、影響を受けるコンピュータで完全な制御を取得する可能性があります。
「ナビゲーション メソッドのクロス ドメインの脆弱性」の問題を緩和する要素 - CAN-2004-0549: |
| • | Web ベースの攻撃のシナリオでは、この脆弱性の悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者がユーザーを強制的に悪質な Web サイトに訪問させる手段はありません。通常、攻撃者の Web サイトに接続させるリンクをユーザーにクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。 | ||||||||
| • | この脆弱性で、攻撃者によりユーザーと同じ特権が取得される可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは、管理者特権で操作を行うユーザーよりも危険にさらされる可能性が低くなります。 | ||||||||
| • | マイクロソフト セキュリティ情報 MS04-024 およびサポート技術情報 870669 で説明されている ADODB.Stream の更新プログラムの両方をインストールしているお客様は、リモートでコードが実行される、この脆弱性による危険にさらされる可能性が低くなります。 | ||||||||
| • | マイクロソフト セキュリティ情報 MS04-024 およびサポート技術情報 870669 で説明されている ADODB.Stream の更新プログラムの両方をインストールしているお客様は、リモートでコードが実行される、この脆弱性による危険にさらされる可能性が低くなります。 | ||||||||
| • | 既定で Outlook Express 6、Outlook 2002 および Outlook 2003 は HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。さらに、Outlook 98 および Outlook 2000 は、Office 2000 アップデート: Service Pack 3 (SP-3) がインストールされている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。Outlook Express 5.5 Service Pack 2 は、マイクロソフト セキュリティ情報 MS04-018 で提供された更新プログラムがインストールされている場合、HTML 形式の電子メールを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはこの脆弱性を悪用する攻撃を受ける可能性を低減する手助けとなります。 次のすべての条件があてはまる場合、HTML 形式の電子メールによる攻撃の危険は著しく低減されます。
| ||||||||
| • | 既定で Windows Server 2003 上の Internet Explorer を、この脆弱性を緩和する制限されたモード (セキュリティ強化の構成) で実行している。Internet Explorer のセキュリティ強化の構成に関する詳細情報については、この脆弱性に関する「よく寄せられる質問」をご覧下さい。 | ||||||||
| • | 次の製品はこの脆弱性による影響を受けません。
|
「ナビゲーション メソッドのクロス ドメインの脆弱性」の回避策 - CAN-2004-0549: |
マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。
| • | インターネットおよびイントラネットゾーンの設定を「高」に設定し、インターネットおよびイントラネットゾーンで ActiveX コントロールおよび Active スクリプティングを実行する前にダイアログを表示する インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブスクリプトが実行される前にダイアログが表示されるようにすると、この脆弱性に対する保護の手助けとなります。これを行うためには、次のステップにしたがってください。
回避策の影響 : ActiveX コントロールを実行する前にダイアログが表示される影響があります。インターネット上の多くの Web サイトは ActiveX を使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはバンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールを実行する前にダイアログを表示することはすべてのインターネットおよびイントラネット サイトのグローバルな設定です。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックして ActiveX コントロールを実行して下さい。これらのすべての Web サイトでダイアログを表示したくない場合、下記の「Web サイトを信頼される Web サイトのみに制限する」回避策を使用することができます。 | ||||||||||||||||||
| • | Web サイトを信頼される Web サイトのみに制限する インターネットおよびイントラネット ゾーンで ActiveX コントロールが実行される前にダイアログが表示されるように設定した後、信頼する Web サイトを Internet Explorer の [信頼済み] サイトに追加することができます。これにより、信頼されていない Web サイトからのこの攻撃から保護する手助けを行いながら、現在使用しているのとまったく同様に、信頼する Web サイトを引き続き使用することができます。マイクロソフトは信頼される Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。これを行うためには、次のステップにしたがってください。
コンピュータで悪質な動作を行わないと信頼できるすべての Web サイトを追加します。なお、特に追加すべき Web サイトは http://update.microsoft.com/microsoftupdate/ です。この Web サイトはセキュリティ更新プログラムを提供する Web サイトで、セキュリティ更新プログラムをインストールするためには ActiveX コントロールの使用を必要とします。 | ||||||||||||||||||
| • | Internet Explorer のマイコンピュータゾーンのセキュリティ設定を強化する この脆弱性により、攻撃者はマイ コンピュータ ゾーンで HTML 形式のコードを実行できるため、ユーザーは、このゾーンの既定の設定を制限することにより、この脆弱性の影響を低減することができます。これらの設定に関する詳細情報およびこれらの既定の設定の変更により起こる可能性のある影響に関する詳細情報は、マイクロソフト サポート技術情報 833633 をご覧下さい。 回避策の影響 : マイクロソフトはお客様に Internet Explorer のセキュリティ設定へのこれらの変更は最後の手段として検討することを推奨します。これらの変更を行った場合、Windows プログラムおよびコンポーネントのいくつかの機能が失われる場合があります。運用環境でこれらの変更を行う前に、広範なテストを行い、すべてのユーザーにミッションクリティカルなプログラムが引き続き動作することを確認して下さい。 | ||||||||||||||||||
| • | Outlook 2000 Service Pack 1 またはそれ以前を使用している場合、Office 2000 アップデート: Service Pack 3 (SP-3)をインストールする 既定で Outlook Express 6、Outlook 2002 および Outlook 2003 は HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。さらに、Outlook 98 および Outlook 2000 は、アップデート : 電子メール セキュリティがインストールされている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。 これらの製品のいずれかをご使用のお客様については、電子メールメッセージ内の不正なリンクをクリックしない限り、これらの脆弱性が悪用される電子メールの攻撃からの危険性が削減されます。 | ||||||||||||||||||
| • | Outlook Express 5.5 SP2 を使用している場合、マイクロソフトセキュリティ情報MS04-018で提供された更新プログラムをインストールする マイクロソフト セキュリティ情報 MS04-018 で提供された更新プログラムがインストールされている場合、Outlook Express 5.5 Service Pack 2 は HTML 形式の電子メールを制限付きサイト ゾーンで開きます。 これらの製品のいずれかをご使用のお客様については、電子メール メッセージ内の不正なリンクをクリックしない限り、これらの脆弱性が悪用される電子メールの攻撃からの危険性が削減されます。 | ||||||||||||||||||
| • | Outlook 2002 またはそれ以降、Outlook Express 6 Service Pack 1 またはそれ以降を使用している場合、HTML 形式の電子メールによる攻撃からコンピュータを保護するために電子メールをテキスト形式で読み取る Office XP Service Pack 1 またはそれ以降を適用している Microsoft Outlook 2002 を使用しているお客様、および Internet Explorer 6 Service Pack 1 を適用している Microsoft Outlook Express 6 を使用しているお客様は、この設定を有効にし、デジタル署名されていない電子メール メッセージまたは暗号化されていない電子メール メッセージをテキスト形式のみで表示することができます。 デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージはこの設定の影響を受けません。その元の形式で読み取られます。Outlook 2002 でこの設定を有効にすることに関する情報は、サポート技術情報 307594をご覧下さい。 Outlook Express 6 でこの設定を有効にする方法に関する情報は、サポート技術情報 291387 をご覧下さい。 回避策の影響 : テキスト形式で表示される電子メールは、写真、特別なフォント、アニメーションまたはそのほかのリッチコンテンツを含むことはできません。さらに次の影響があります。
|
ナビゲーション メソッドのクロス ドメインの脆弱性 (CAN-2004-0549) のよく寄せられる質問 |
どのようなことが起こる可能性がありますか?
これはリモートでコードが実行される脆弱性です。ユーザーが管理者特権でログオンしている場合、攻撃者がこの脆弱性を悪用することにより、影響を受けるコンピュータで完全な制御が取得される可能性があります。攻撃者は次にプログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成を行う可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを使用するユーザーは管理者特権で操作を行うユーザーよりも危険にさらされる可能性は低くなります。
何が原因で起こりますか?
Internet Explorer のクロス ドメインのセキュリティ モデルにより検証されるナビゲーションモデルによるプロセスが原因でこの脆弱性が起こります。
Internet Explorer が実装するクロスドメインのセキュリティモデルとは何ですか?
ブラウザの主要なセキュリティ機能の 1 つは、同じ Web サイトからのウィンドウが互いに対話できるようにする一方、異なる Web サイトの管理によるブラウザ ウィンドウが互いに干渉しない、または互いのデータにアクセスしないようにすることです。協力するブラウザ ウィンドウと協力しないブラウザ ウィンドウを区別するために、「ドメイン」という概念が作られました。ドメインとはセキュリティの境界です。同じドメイン内で開かれているウィンドウは互いに対話することができますが、別のドメインからのウィンドウは互いに対話できません。クロスドメイン セキュリティ モデルとは別々のドメイン上のウィンドウが互いに干渉しないようにするセキュリティ アーキテクチャの一部です。
ドメインの最も簡単な例は Web サイトに関連しています。たとえば、ユーザーが http://www.wingtiptoys.com を訪問し、http://www.wingtiptoys.com/security へのウィンドウを開くとします。両方の Web サイトは同じドメインである http://www.wingtiptoys.com に属しているため、互いに対話することができます。しかし、ユーザーが http://www.wingtiptoys.com を訪問し、別の Web サイトへのウィンドウを開く場合、クロスドメイン セキュリティ モデルにより、2 つのウィンドウは互いに保護されます。この概念はさらに進みます。たとえば、ユーザーのローカル コンピュータのファイル システムもまたドメインです。このため、たとえば http://www.wingtiptoys.com がウィンドウを開き、ユーザーにそのユーザーのハード ドライブのファイルを表示することもできます。しかし、ユーザーのローカル ファイル システムはその Web サイトとは別のドメインに存在するため、クロスドメイン セキュリティ モデルは、その Web サイトが表示されているファイルを読み取らないようにする必要があります。
Internet Explorer のクロスドメイン セキュリティ モデルは Internet Explorer のセキュリティ ゾーンの設定を使用して、構成することができます。
Internet Explorer のセキュリティゾーンとは何ですか?
Internet Explorer のセキュリティ ゾーンとは、オンライン コンテンツをカテゴリ、またはコンテンツの信頼度に基づいたゾーンに分類するシステムの一部です。特定の Web ドメインは、各ドメインのコンテンツがどの程度信頼されているかにより、ゾーンに割り当てられます。そしてゾーンは Web コンテンツの権限をそのゾーンのポリシーに基づき制限します。既定で、ほとんどのインターネットドメインは、インターネットゾーンの一部として扱われます。既定で、インターネット ゾーンのポリシーは、スクリプトやそのほかのアクティブなコードがローカル コンピュータのリソースにアクセスすることを防ぎます。
攻撃者はこの脆弱性により何を行う可能性がありますか?
この脆弱性で、攻撃者により Internet Explorer のマイ コンピュータ セキュリティ ゾーンで悪質なスクリプト コードが実行される可能性があります。これにより、攻撃者は影響を受けるコンピュータで完全な制御を取得する可能性があります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
攻撃者は悪質な Web ページまたは HTML 形式の電子メール メッセージを作成し、次にユーザーにこの Web ページを表示させる、または HTML 形式の電子メール メッセージを表示させることにより、この脆弱性を悪用する可能性があります。ユーザーが Web ページを訪問、または電子メール メッセージを表示すると、攻撃者はそのほかの Web サイト、コンピュータのローカル ファイルからの情報にアクセスする、またはマイ コンピュータ ゾーンのセキュリティ コンテキストでスクリプトを実行する可能性があります。
主にどのコンピュータがこの脆弱性の影響を受けますか?
この脆弱性が悪用されるには、ユーザーがログオンし、電子メールを読み取る、または Web サイトを訪問することが攻撃者にとっての必要条件となります。このため、ユーザーのワークステーションまたはターミナル サーバーなど、電子メールが読み取られる、または Internet Explorer が頻繁に使用されるコンピュータがこの脆弱性による危険に最もさらされます。ほとんどのサーバー コンピュータなど、通常、電子メールを読み取るため、または Web サイトを訪問するために使用されないコンピュータが危険にさらされる可能性は低くなります。
Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこのセキュリティ情報で対応する脆弱性による深刻な影響を受けますか?
はい。Windows 98、Windows 98 Second Edition および Windows Millennium Edition はこの脆弱性による深刻な影響を受けます。これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムはこのセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムと同時に利用可能とならない場合があります。これらはセキュリティ情報のリリース後、可能な限り早期に利用可能となります。これらのセキュリティ更新プログラムが利用可能になると、Windows Update Web サイトからのみ、ダウンロード可能となります。深刻度評価システムに関する詳細情報は、次の Web サイトをご覧下さい。
Windows Server 2003 上で Internet Explorer を実行している場合、この脆弱性を緩和しますか?
はい。既定で、Windows Server 2003 上の Internet Explorer は、この脆弱性を緩和する「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。
Internet Explorer のセキュリティ強化の構成とは何ですか?
Internet Explorer のセキュリティ強化の構成は、ユーザーまたは管理者が悪質な Web コンテンツをサーバーにダウンロードし、実行する危険性を低減する Internet Explorer のあらかじめ構成された設定の集合体です。Internet Explorer のセキュリティ強化の構成は、[インターネット オプション] の [セキュリティ] タブの設定、[詳細設定] タブなどの多くのセキュリティ設定を変更することにより、このような危険性を低減します。重要な変更に、以下のようなものがあります。
| • | インターネットゾーンのセキュリティレベルを [高] に設定。この設定により、スクリプト、ActiveX コントロール、Microsoft 仮想マシン (Microsoft VM)、HTML コンテンツおよびファイル ダウンロードが無効にされます。 |
| • | イントラネットサイトの自動検出を無効に設定。この設定では、すべてのイントラネットの Web サイトおよびローカル イントラネット ゾーンに明示的にリストされていない汎用名前付け規則 (UNC) のすべてのパスがインターネット ゾーンに割り当てられます。 |
| • | オンデマンドのインストールおよびマイクロソフト以外のブラウザ拡張を無効に設定。この設定は、Web ページが自動的にコンポーネントをインストールするのを防ぎ、マイクロソフト以外の拡張が実行されないようにします。 |
| • | マルチメディアコンテンツを無効に設定。この設定により、音楽、アニメーション、ビデオ クリップが実行されなくなります。 |
この脆弱性がインターネットで悪用される可能性はありますか?
はい、あります。攻撃者はこの脆弱性をインターネットで悪用する可能性があります。マイクロソフトはお客様のコンピュータを保護する手助けとなる方法についての情報を提供しています。エンド ユーザーは、Protect Your PC の Web サイトをご覧下さい。IT プロフェッショナルは、セキュリティ ガイダンス センターの Web サイトをご覧下さい。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは Internet Explorer がナビゲーション メソッドを検証する方法を変更することにより、この脆弱性を排除します。
このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?
はい。この脆弱性は一般に公開されていました。これは Common Vulnerability and Exposure の CAN-2004-0549 にアサインされています。また、この脆弱性はさらに大きなセキュリティ コミュニティで「180 ソリューション」または「モーダル ダイアログの脆弱性」と呼ばれています。
このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
はい。このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたとの情報を受けていました。
この累積的なセキュリティ更新プログラムの適用はこの脆弱性を悪用する公開されているコードから顧客を保護する手助けとなりますか?
はい。この累積的なセキュリティ更新プログラムは、現在悪用されている脆弱性を解決します。解決される脆弱性は Common Vulnerability and Exposure の CAN-2004-0549 にアサインされています。
不正な BMP ファイルのバッファ オーバーランの脆弱性 - CAN-2004-0566: |
バッファ オーバーランの脆弱性が BMP イメージ ファイルの処理に存在し、これにより、影響を受けるコンピュータ上でリモートでコードが実行される可能性があります。ユーザーが管理者特権でログオンしている場合、攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータで完全な制御が取得される場合があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは、管理者特権で操作を行うユーザーよりも危険にさらされる可能性は低くなります。
「不正な BMP ファイルのバッファ オーバーランの脆弱性」の問題を緩和する要素 - CAN-2004-0566: |
| • | Web ベースの攻撃のシナリオでは、この脆弱性の悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者がユーザーを強制的に悪質な Web サイトに訪問させる手段はありません。通常、攻撃者の Web サイトに接続させるリンクをユーザーにクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。 | ||||||||
| • | この脆弱性で、攻撃者によりユーザーと同じ特権が取得される可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは、管理者特権で操作を行うユーザーよりも危険にさらされる可能性が低くなります。 | ||||||||
| • | |||||||||
| • | 次の製品はこの脆弱性による影響を受けません。
|
「不正な BMP ファイルのバッファ オーバーランの脆弱性」の回避策 - CAN-2004-0566: |
マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。
| • | Outlook 2002 またはそれ以降、Outlook Express 6 Service Pack 1 またはそれ以降を使用している場合、HTML 形式の電子メールによる攻撃からコンピュータを保護するために電子メールをテキスト形式で読み取る Office XP Service Pack 1 またはそれ以降を適用している Microsoft Outlook 2002 を使用しているお客様、および Internet Explorer 6 Service Pack 1 を適用している Microsoft Outlook Express 6 を使用しているお客様は、この設定を有効にし、デジタル署名されていない電子メール メッセージまたは暗号化されていない電子メール メッセージをテキスト形式のみで表示することができます。 デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージはこの設定の影響を受けません。その元の形式で読み取られます。Outlook 2002 でこの設定を有効にすることに関する情報は、サポート技術情報 307594をご覧下さい。 Outlook Express 6 でこの設定を有効にする方法に関する情報は、サポート技術情報 291387 をご覧下さい。 回避策の影響 : テキスト形式で表示される電子メールは、写真、特別なフォント、アニメーションまたはそのほかのリッチコンテンツを含むことはできません。さらに次の影響があります。
|
不正な BMP ファイルのバッファ オーバーランの脆弱性 (CAN-2004-0566) のよく寄せられる質問 |
どのようなことが起こる可能性がありますか?
これはバッファ オーバーランの脆弱性です。ユーザーが管理者特権でログオンしている場合、攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータ上で完全な制御が取得される可能性があります。攻撃者は次にプログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成を行う可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは管理者特権で操作を行うユーザーよりも危険にさらされる可能性は低くなります。
この脆弱性により攻撃者は何を行う可能性がありますか?
この脆弱性で、攻撃者は影響を受けるコンピュータで完全な制御を取得する可能性があります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
Internet Explorer の BMP のレンダリング コードが悪用され、悪質なファイルが表示されるシナリオで、この脆弱性が悪用される可能性があります。次にいくつかの例を挙げます。
| • | 攻撃者はこの脆弱性の悪用を意図した悪質な Web サイトをホストし、ユーザーにその Web サイトを表示させようとする可能性があります。 |
| • | また、攻撃者は、この脆弱性の悪用を意図した特別な細工がされたイメージを含む HTML 形式の電子メール メッセージを作成する可能性があります。次にユーザーにその HTML 形式の電子メールメッセージを表示、またはプレビューさせようとする可能性があります。 |
| • | 攻撃者は特別な細工をしたイメージをローカルファイル システムまたはネットワーク共有に追加し、ユーザーにそのディレクトリをプレビューさせようとする可能性があります。 |
主にどのコンピュータがこの脆弱性の影響を受けますか?
この脆弱性が悪用されるには、ユーザーがログオンし、電子メールを読み取る、または Web サイトを訪問することが攻撃者にとっての必要条件となります。このため、ユーザーのワークステーションまたはターミナルサーバーなど、電子メールが読み取られる、または Internet Explorer が頻繁に使用されるコンピュータがこの脆弱性による危険に最もさらされます。ほとんどのサーバーコンピュータなど、通常、電子メールを読み取るため、または Web サイトを訪問するために使用されないコンピュータが危険にさらされる可能性は低くなります。
Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこのセキュリティ情報で対応する脆弱性による深刻な影響を受けますか?
はい。Windows 98、Windows 98 Second Edition および Windows Millennium Edition はこの脆弱性による深刻な影響を受けます。これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムはこのセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムと同時に利用可能とならない場合があります。これらはセキュリティ情報のリリース後、可能な限り早期に利用可能となります。これらのセキュリティ更新プログラムが利用可能になると、Windows Update Web サイトからのみ、ダウンロード可能となります。深刻度評価システムに関する詳細情報は、次の Web サイトをご覧下さい。
この脆弱性がインターネットで悪用される可能性はありますか?
はい、あります。攻撃者はこの脆弱性をインターネットで悪用する可能性があります。マイクロソフトはお客様の PC を保護する手助けとなる方法についての情報を提供しています。エンド ユーザーは、Protect Your PC の Web サイトをご覧下さい。IT プロフェッショナルは、セキュリティ ガイダンス センターの Web サイトをご覧下さい。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは、BMP ファイルが開かれた場合、Internet Explorer がその BMP ファイルを検証する方法を変更することにより、この脆弱性を排除します。
このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?
はい。この脆弱性は一般に公開されていました。これは Common Vulnerability and Exposure の CAN-2004-0566 にアサインされています。
このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
はい。このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたとの情報を受けていました。
この累積的なセキュリティ更新プログラムの適用はこの脆弱性を悪用する公開されているコードから顧客を保護する手助けとなりますか?
はい。この累積的なセキュリティ更新プログラムは、現在悪用されている脆弱性を解決します。解決される脆弱性は Common Vulnerability and Exposure の CAN-2004-0566 にアサインされています。
不正な GIF ファイルのダブル フリーの脆弱性 - CAN-2003-1048: |
バッファ オーバーランの脆弱性が GIF イメージ ファイルの処理に存在し、これにより、影響を受けるコンピュータ上でリモートでコードが実行される可能性があります。ユーザーが管理者特権でログオンしている場合、攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータで完全な制御が取得される場合があります。コンピュータ上で低い特権を構成しているアカウントを持つユーザーは、管理者権限で実行しているユーザーよりも危険性が低いといえます。
「不正な GIF ファイルのダブル フリーの脆弱性」の問題を緩和する要素 - CAN-2003-1048: |
| • | Web ベースの攻撃のシナリオでは、この脆弱性の悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者がユーザーを強制的に悪質な Web サイトに訪問させる手段はありません。通常、攻撃者の Web サイトに接続させるリンクをユーザーにクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。 |
| • | この脆弱性で、攻撃者によりユーザーと同じ特権が取得される可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは、管理者特権で操作を行うユーザーよりも危険にさらされる可能性が低くなります。 |
| • | 影響を受ける各コンピュータでの一意なメモリ構造のレイアウトのため、この脆弱性の大規模な悪用は困難であると考えられます。 |
「不正な GIF ファイルのダブル フリーの脆弱性」の回避策 - CAN-2003-1048: |
マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。
| • | Outlook 2002 またはそれ以降、Outlook Express 6 Service Pack 1 またはそれ以降を使用している場合、HTML 形式の電子メールによる攻撃からコンピュータを保護するために電子メールをテキスト形式で読み取る Office XP Service Pack 1 またはそれ以降を適用している Microsoft Outlook 2002 を使用しているお客様、および Internet Explorer 6 Service Pack 1 を適用している Microsoft Outlook Express 6 を使用しているお客様は、この設定を有効にし、デジタル署名されていない電子メール メッセージまたは暗号化されていない電子メール メッセージをテキスト形式のみで表示することができます。 デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージはこの設定の影響を受けません。その元の形式で読み取られます。Outlook 2002 でこの設定を有効にすることに関する情報は、サポート技術情報 307594をご覧下さい。 Outlook Express 6 でこの設定を有効にする方法に関する情報は、サポート技術情報 291387 をご覧下さい。 回避策の影響 : テキスト形式で表示される電子メールは、写真、特別なフォント、アニメーションまたはそのほかのリッチコンテンツを含むことはできません。さらに次の影響があります。
|
不正な GIF ファイルのダブル フリーの脆弱性 (CAN-2003-1048) のよく寄せられる質問 |
どのようなことが起こる可能性がありますか?
これはサービス拒否の脆弱性ですが、リモートでコードが実行される脆弱性の可能性もあります。ユーザーが管理者特権でログオンしている場合、攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータで完全な制御が取得される可能性があります。攻撃者は次にプログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成を行う可能性があります。コンピュータでほとんど特権を持たないよう構成されているアカウントを持つユーザーは管理者特権で操作を行うユーザーよりも危険にさらされる可能性は低くなります。
ダブルフリーの状態とは何ですか?
攻撃者は、影響を受けるコンピュータが特別な細工をした GIF ファイルを処理している間、使用のために既に割り当てられていたメモリを開放または「フリー」にする可能性があります。既にフリーにされたメモリが開放されると、メモリが破損する可能性があります。破損が発生すると、攻撃者は、メモリに任意のコードを追加し、これを実行する可能性があります。ユーザーが管理者特権でログオンしている場合、このコードはシステム レベルの特権で実行される可能性があります。
通常、この脆弱性の悪用によりサービス拒否が起こります。しかし、限定的な状況では、コードの実行が起こる可能性があります。メモリのレイアウトは各コンピュータで一意であるため、この脆弱性の大規模な悪用は困難であると考えられます。
この脆弱性により攻撃者は何を行う可能性がありますか?
この脆弱性で、攻撃者は影響を受けるコンピュータで完全な制御を取得する可能性があります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
Internet Explorer の GIF のレンダリングコードが悪用され、悪質なファイルが表示されるシナリオで、この脆弱性が悪用される可能性があります。次にいくつかの例を挙げます。
| • | 攻撃者はこの脆弱性の悪用を意図した悪質な Web サイトをホストし、ユーザーにその Web サイトを表示させようとする可能性があります。 |
| • | また、攻撃者は、この脆弱性の悪用を意図した特別な細工がされたイメージを含む HTML 形式の電子メール メッセージを作成する可能性があります。次にユーザーにその HTML 形式の電子メール メッセージを表示、またはプレビューさせようとする可能性があります。 |
| • | 攻撃者は特別な細工をしたイメージをローカルファイル システムまたはネットワーク共有に追加し、ユーザーにそのディレクトリをプレビューさせようとする可能性があります。 |
主にどのコンピュータがこの脆弱性の影響を受けますか?
この脆弱性が悪用されるには、ユーザーがログオンし、電子メールを読み取る、または Web サイトを訪問することが攻撃者にとっての必要条件となります。このため、ユーザーのワークステーションまたはターミナルサーバーなど、電子メールが読み取られる、または Internet Explorer が頻繁に使用されるコンピュータがこの脆弱性による危険に最もさらされます。ほとんどのサーバーコンピュータなど、通常、電子メールを読み取るため、または Web サイトを訪問するために使用されないコンピュータが危険にさらされる可能性は低くなります。
Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこのセキュリティ情報で対応する脆弱性による深刻な影響を受けますか?
はい。Windows 98、Windows 98 Second Edition および Windows Millennium Edition はこの脆弱性による深刻な影響を受けます。これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムはこのセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムと同時に利用可能とならない場合があります。これらはセキュリティ情報のリリース後、可能な限り早期に利用可能となります。これらのセキュリティ更新プログラムが利用可能になると、Windows Update Web サイトからのみ、ダウンロード可能となります。深刻度評価システムに関する詳細情報は、次の Web サイトをご覧下さい。
この脆弱性がインターネットで悪用される可能性はありますか?
はい、あります。攻撃者はこの脆弱性をインターネットで悪用する可能性があります。マイクロソフトはお客様の PC を保護する手助けとなる方法についての情報を提供しています。エンド ユーザーは、Protect Your PC の Web サイトをご覧下さい。IT プロフェッショナルは、セキュリティ ガイダンス センターの Web サイトをご覧下さい。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは、GIF ファイルが開かれた場合、Internet Explorer がその GIF ファイルを検証する方法を変更することにより、この脆弱性を排除します。
このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?
はい。この脆弱性は一般に公開されていました。これは Common Vulnerability and Exposure の CAN-2003-1048 にアサインされています。
このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。マイクロソフトは、このセキュリティ情報が最初にリリースされた時に、公開された検証用コード例の存在を確認していましたが、この脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けていませんでした。
セキュリティ更新プログラムに関する情報 |
対象プラットフォームおよび必要条件 :
Internet Explorer のバージョンの確認方法に関する情報は、次のサポート技術情報をご覧下さい。
164539 インストールされている Internet Explorer のバージョン確認方法
Internet Explorer 6 for Windows Server 2003 (すべてのバージョン) および Windows XP 64-bit Edition、Version 2003 |
必要条件 :
Windows Server 2003 (32-bit または 64-bit) で実行している Internet Explorer 6 (バージョン 6.00.3790.0000)、または Windows XP 64-Bit Edition, Version 2003 で実行している Internet Explorer 6 (version 6.00.3790.0000)
この修正を含む予定のサービスパック :
この問題に対する更新プログラムは Windows Server 2003 Service Pack 1 に含まれる予定です。
インストール情報 :
このセキュリティ更新プログラムは次のセットアップ スイッチをサポートします。
/help: インストール スイッチの一覧を表示します
セットアップモード
/quiet: Quiet モード (ユーザー入力を必要としません。表示もしません)
/passive: 無人モード (進行状況バーのみ)
/uninstall: パッケージをアンインストールします
再起動オプション
/norestart: インストールの完了後、再起動しません
/forcerestart: インストール後、再起動します
特別なオプション
/l: インストール済みの Windows ホットフィックスまたは更新パッケージを表示します
/o: 確認メッセージを表示せずに OEM ファイルを上書きします
/n: アンインストールに必要なファイルのバックアップを作成しません
/f: シャットダウン時に他のプログラムを強制終了します
/extract: セットアップを開始せずにファイルを抽出します
注 : これらのスイッチを 1 つのコマンド ラインに組み込むことができます。旧バージョンとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンによって使用されるセットアップ スイッチもサポートしています。サポートされるインストール スイッチについての追加情報はマイクロソフト サポート技術情報 262841 をご覧ください。
適用に関する情報 :
ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、Windows Server 2003 のコマンド プロンプトで、次のコマンド ラインを使用してください。
Windowsserver2003-kb867801-x86-JPN /passive /quiet
コンピュータを強制的に再起動せずにセキュリティ更新プログラムをインストールするためには、Windows Server 2003 のコマンド プロンプトで、次のコマンド ラインを使用して下さい。
Windowsserver2003-kb867801-x86-JPN /norestart
Microsoft Software Update Services でこのセキュリティ更新プログラムを適用する方法に関する情報は、次のマイクロソフトの Web サイトをご覧下さい。
再起動の必要性 :
インストールを完了させるためには再起動が必要です。この更新プログラムのすべてのバージョンについて、コンピュータの再起動後、管理者ログオンを使用する必要はありません。
削除に関する情報 :
この更新を削除するためには、[コントロールパネル] の [プログラムの追加と削除] を使用して下さい。
システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB867801$\Spuninst フォルダにあり、これは次のセットアップ スイッチをサポートします。
/?: インストール スイッチの一覧を表示します
/u: 無人モードで実行します
/f: コンピュータがシャット ダウンする時、そのほかのプログラムを強制的に閉じます
/z: インストールが完了する時、再起動しません
/q: Quiet モードを使用します (ユーザーの操作なし)
ファイル情報
この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。
Internet Explorer 6 for Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition および Windows Server 2003 Datacenter Edition:
| 日付 | 時間 | バージョン | サイズ | ファイル名 | フォルダ |
2004/7/9 | 9:25 | 6.00.3790.186 | 1,057,792 | browseui.dll | RTMGDR |
2004/7/9 | 9:25 | 6.00.3790.191 | 2,921,472 | mshtml.dll | RTMGDR |
2004/7/9 | 9:25 | 6.00.3790.186 | 1,394,176 | shdocvw.dll | RTMGDR |
2004/7/9 | 9:25 | 6.00.3790.186 | 286,720 | shlwapi.dll | RTMGDR |
2004/7/9 | 9:25 | 6.00.3790.186 | 504,320 | urlmon.dll | RTMGDR |
2004/7/9 | 9:25 | 6.00.3790.186 | 614,912 | wininet.dll | RTMGDR |
2004/7/9 | 9:13 | 6.00.3790.186 | 1,057,792 | browseui.dll | RTMQFE |
2004/7/8 | 17:13 | 6.00.3790.191 | 2,921,472 | mshtml.dll | RTMQFE |
2004/7/9 | 9:13 | 6.00.3790.186 | 1,394,176 | shdocvw.dll | RTMQFE |
2004/7/9 | 9:13 | 6.00.3790.186 | 286,720 | shlwapi.dll | RTMQFE |
2004/7/9 | 9:13 | 6.00.3790.186 | 504,320 | urlmon.dll | RTMQFE |
2004/7/9 | 9:13 | 6.00.3790.186 | 614,912 | wininet.dll | RTMQFE |
Internet Explorer 6 for Windows XP 64-Bit Edition, Version 2003、Windows Server 2003 64-Bit Enterprise Edition および Windows Server 2003 64-Bit Datacenter Edition:
| 日付 | 時間 | バージョン | サイズ | ファイル名 | フォルダ |
2004/7/8 | 17:29 | 6.0.3790.186 | 2,536,960 | browseui.dll | RTMGDR |
2004/7/8 | 17:29 | 6.0.3790.191 | 8,221,184 | mshtml.dll | RTMGDR |
2004/7/8 | 17:29 | 6.0.3790.186 | 3,361,280 | shdocvw.dll | RTMGDR |
2004/7/8 | 17:29 | 6.0.3790.186 | 738,304 | shlwapi.dll | RTMGDR |
2004/7/8 | 17:29 | 6.0.3790.186 | 1,266,688 | urlmon.dll | RTMGDR |
2004/7/8 | 17:29 | 6.0.3790.186 | 1,493,504 | wininet.dll | RTMGDR |
2004/7/8 | 17:25 | 6.0.3790.186 | 1,057,792 | wbrowseui.dll | RTMGDR\WOW |
2004/7/8 | 17:25 | 6.0.3790.191 | 2,921,472 | wmshtml.dll | RTMGDR\WOW |
2004/7/8 | 17:25 | 6.0.3790.186 | 1,394,176 | wshdocvw.dll | RTMGDR\WOW |
2004/7/8 | 17:25 | 6.0.3790.186 | 286,720 | wshlwapi.dll | RTMGDR\WOW |
2004/7/8 | 17:25 | 6.0.3790.186 | 504,320 | wurlmon.dll | RTMGDR\WOW |
2004/7/8 | 17:25 | 6.0.3790.186 | 614,912 | wwininet.dll | RTMGDR\WOW |
2004/7/8 | 17:12 | 6.0.3790.186 | 2,536,960 | browseui.dll | RTMQFE |
2004/7/8 | 17:12 | 6.0.3790.191 | 8,221,696 | mshtml.dll | RTMQFE |
2004/7/8 | 17:12 | 6.0.3790.186 | 3,361,280 | shdocvw.dll | RTMQFE |
2004/7/8 | 17:12 | 6.0.3790.186 | 738,304 | shlwapi.dll | RTMQFE |
2004/7/8 | 17:12 | 6.0.3790.186 | 1,266,688 | urlmon.dll | RTMQFE |
2004/7/8 | 17:12 | 6.0.3790.186 | 1,494,016 | wininet.dll | RTMQFE |
2004/7/8 | 17:13 | 6.0.3790.186 | 1,057,792 | wbrowseui.dll | RTMQFE\WOW |
2004/7/8 | 17:13 | 6.0.3790.191 | 2,921,472 | wmshtml.dll | RTMQFE\WOW |
2004/7/8 | 17:13 | 6.0.3790.186 | 1,394,176 | wshdocvw.dll | RTMQFE\WOW |
2004/7/8 | 17:13 | 6.0.3790.186 | 286,720 | wshlwapi.dll | RTMQFE\WOW |
2004/7/8 | 17:13 | 6.0.3790.186 | 504,320 | wurlmon.dll | RTMQFE\WOW |
2004/7/8 | 17:13 | 6.0.3790.186 | 614,912 | wwininet.dll | RTMQFE\WOW |
注 : Windows Server 2003 または Windows XP 64-Bit Edition Version 2003 のコンピュータに、このセキュリティ更新プログラムをインストールするとき、コンピュータ上のアップデート対象ファイルのいずれかが、マイクロソフトの更新プログラムによって過去にアップデートされているかどうかがチェックされます。過去に更新プログラムをインストールしてこれらのファイルのいずれかをアップデートしている場合は、RTMQFE ファイルがコンピュータにコピーされます。それ以外の場合は、RTMGDR ファイルがコンピュータにコピーされます。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
824994 Windows Server 2003 製品アップデート パッケージの内容に関する説明
更新プログラムが正しくインストールされたかどうか確認する方法 :
| • | Microsoft Baseline Security Analyzer 影響を受けるコンピュータにセキュリティ更新プログラムがインストールされていることを確認するためには、Microsoft Baseline Security Analyzer (MBSA) ツールを使用して下さい。管理者は、一般的なセキュリティ上誤った構成とともに、不足しているセキュリティ更新プログラムについて、ローカルコンピュータおよびリモート コンピュータをMicrosoft Baseline Security Analyzer (MBSA) を使ってスキャンすることができます。MBSA に関する詳細情報は、Microsoft Baseline Security Analyzer の Web サイトをご覧下さい。 | ||||||||||
| • | ファイルのバージョンの確認 注 : Microsoft Windows にはいくつかのバージョンがあるため、次のステップはコンピュータにより異なる場合があります。異なる場合には、製品のドキュメンテーションを参照し、これらのステップを完了させて下さい。
| ||||||||||
| • | レジストリキーの確認 次のレジストリ キーを調べることにより、このセキュリティ更新プログラムがインストールしたファイルを確認することができます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB867801 注 : このレジストリ キーはインストールされたファイルの完全な一覧を含まない場合があります。また、管理者または OEM メーカーによって 867801 のセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリーム化されている場合、このレジストリ キーが適切に作成されない場合があります。 |
Internet Explorer 6 SP1 for Windows XP (すべてのバージョン)、Windows 2000 (すべてのバージョン)、Windows NT 4.0 6a (すべてのバージョン)、Windows Millennium Edition (Me)、および Windows 98 (すべてのバージョン) |
注 : Windows XP 64-Bit Edition, バージョン 2003 (英語版) のセキュリティ更新プログラムは Windows Server 2003 の 64-bit バージョン用のセキュリティ更新プログラムと同じです。
必要条件 :
Internet Explorer 6 Service Pack 1 用のセキュリティ更新プログラムをインストールするためには、次の Windows のうちの一つと Internet Explorer 6 SP1 (バージョン 6.00.2800.1106) がインストールされている必要があります。
| • | Microsoft Windows 98 |
| • | Microsoft Windows 98 Second Edition (SE) |
| • | Microsoft Windows Millennium Edition (Me) |
| • | Microsoft Windows NT® Workstation 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6 |
| • | Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4 |
| • | Microsoft Windows XP |
| • | Microsoft Windows XP Service Pack 1 |
| • | Microsoft Windows XP 64-Bit Edition、Service Pack 1 |
注 : このセキュリティ情報に記載されていない Windows のバージョンおよび Internet Explorer のバージョンは、サポート対象外またはこの脆弱性の影響を受けません。マイクロソフトは Windows および Internet Explorer をサポートされているバージョンにアップグレードし、適切な累積的な更新プログラムを適用することを推奨します。
Windows オペレーティングシステム コンポーネントのライフサイクルに関する詳細は http://support.microsoft.com/gp/lifeselect をご覧下さい。
Internet Explorer 6 向けの最新の Service Pack を入手する方法に関する詳細は、328548 最新の Internet Explorer 6 Service Pack を入手する方法をご覧ください。
この修正を含む予定のサービスパック:
これらの問題に対する更新プログラムは Windows XP Service Pack 2 に含まれる予定です。
インストール情報 :
このセキュリティ更新プログラムは次のセットアップ スイッチをサポートします。
/q: ファイルが抽出される時、Quiet モードを使用、またはメッセージを表示しません
/q:u: User-Quiet モードを使用します。User-Quiet モードはユーザーにいくつかのダイアログ ボックスを表示します
/q:a: Administrator-Quiet モードを使用します。Administrator-Quiet モードはユーザーにダイアログ ボックスを表示しません
/T: <完全なパス>: ファイルの展開先フォルダを指定します
/C: <Cmd>:指定されたインストール コマンドを無視します。セットアップ .inf または .exe ファイルのパスと名前を指定します
/r:n: インストール後、コンピュータを再起動しません
/R:I: 必要な場合再起動 - インストールを完了するために必要な場合はコンピュータを自動的に再起動します (/Q:A とともに使用される場合を除く)
/r:a: インストール後、コンピュータを常に再起動します
/r:s: ユーザーに確認メッセージを表示せずに、インストール後コンピュータを再起動します
/N:V: バージョン チェックなし - 以前のバージョン上にプログラムをインストールします
注意 : これらのスイッチは、必ずしもすべての更新プログラムで使用できるわけではありません。スイッチが使用できない場合、その機能は、更新プログラムの適切なインストールに必要となります。また、/N:V のスイッチの使用は、サポートされておらず、コンピュータが起動できなくなる可能性があります。インストールが異常終了した場合、サポート担当にお問い合わせいただき、インストールが異常終了した原因を解明する必要があります。
サポートされるインストール スイッチについての追加情報はマイクロソフト サポート技術情報 197147 をご覧ください。
適用に関する情報 :
ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、コマンド プロンプトで次のコマンドを使用して下さい。
IE6.0sp1-KB867801-x86-JPN.exe /q:a /r:n
Microsoft Software Update Services でこのセキュリティ更新プログラムを適用する方法に関する情報は、次のマイクロソフトの Web サイトをご覧下さい。
再起動の必要性 :
このセキュリティ更新プログラムの適用後、コンピュータを再起動する必要があります。
削除に関する情報 :
この更新を削除するためには、[コントロール パネル] の [プログラムの追加と削除] (または [アプリケーションの追加と削除]) を使用して下さい。Internet Explorer 867801 をクリックし、[変更/削除] (または追加/削除) をクリックして下さい。
システム管理者は Ieuninst.exe ユーティリティを使用し、このセキュリティ更新を削除することができます。この更新プログラムにより、Ieuninst.exe ユーティリティが %Windir% フォルダにインストールされます。このユーティリティは次のセットアップ スイッチをサポートします。
/?: サポートされるスイッチの一覧を表示します
/z: インストールが完了する時、再起動しません
/q: Quiet モードを使用します (ユーザーの操作なし)
たとえば、この更新プログラムをメッセージなしで削除するためには、次のコマンドを使用して下さい。
c:\windows\ieuninst /q c:\windows\inf\q867801.inf
注意 : このコマンドは Windows が C:\Windows フォルダにインストールされていることを前提としています。
ファイル情報
この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。
Internet Explorer 6 Service Pack 1:
| 日付 | 時間 | バージョン | サイズ | ファイル名 |
2004/7/7 | 18:59 | 6.0.2800.1400 | 1,026,048 | BROWSEUI.DLL |
2004/7/7 | 18:59 | 6.0.2800.1458 | 2,803,712 | MSHTML.DLL |
2004/7/7 | 18:59 | 6.0.2800.1400 | 1,339,904 | SHDOCVW.DLL |
2004/7/7 | 18:59 | 6.0.2800.1552 | 394,752 | SHLWAPI.DLL |
2004/7/7 | 18:59 | 6.0.2800.1400 | 484,352 | URLMON.DLL |
2004/7/7 | 18:59 | 6.0.2800.1405 | 588,288 | WININET.DLL |
Internet Explorer 6 Service Pack 1 (64-Bit Edition ):
| 日付 | 時間 | バージョン | サイズ | ファイル名 |
2004/7/7 | 19:02 | 6.0.2800.1400 | 2,855,936 | BROWSEUI.DLL |
2004/7/7 | 19:02 | 6.0.2800.1458 | 9,097,728 | MSHTML.DLL |
2004/7/7 | 19:02 | 6.0.2800.1400 | 3,650,560 | SHDOCVW.DLL |
2004/7/7 | 19:02 | 6.0.2800.1552 | 1,094,144 | SHLWAPI.DLL |
2004/7/7 | 19:02 | 6.0.2800.1400 | 1,415,680 | URLMON.DLL |
2004/7/7 | 19:02 | 6.0.2800.1405 | 1,796,608 | WININET.DLL |
更新プログラムが正しくインストールされたかど