2004 年 7 月のセキュリティ情報

公開日: 2004年7月14日 | 最終更新日: 2004年7月31日

MS04-025 を緊急リリースしました。詳細は以下をご覧ください。

---------------------------------------------------------------------------------------------

ホームユーザーのお客様は、次のページをご覧下さい。

•	MS04-025 : Internet Explorer の重要な更新
•	MS04-018 : Windows の重要な更新
•	MS04-019 : Windows の重要な更新
•	MS04-020 : Windows の重要な更新
•	MS04-021 : Windows の重要な更新
•	MS04-022 : Windows の重要な更新
•	MS04-023 : Windows の重要な更新
•	MS04-024 : Windows の重要な更新

あなたの PC を守るための情報 (Protect your PC):

•	ホームユーザー向け
•	管理者向け

セキュリティ更新プログラム管理: Microsoft セキュリティ更新プログラム管理ガイドでは、セキュリティの更新プログラムを展開するための推奨事項を紹介しています。

マイクロソフトプロダクトセキュリティ警告サービス: セキュリティ情報を公開したことをメールでお知らせします。購読するには、次のサイトをご覧ください。

•	マイクロソフトプロダクトセキュリティ警告サービス日本語版

概要

新たに発見された Windows に関する新しい脆弱性の情報です。深刻度毎の詳しい情報は以下をご覧ください。

緊急 (3 件)

セキュリティ情報の番号	MS04-025
タイトル	Internet Explorer 用の累積的なセキュリティ更新プログラム (867801)
概要	Internet Explorer にリモートでコードを実行する 3 つの脆弱性が存在します｡
最大深刻度	緊急
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows、Internet Explorer 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

セキュリティ情報の番号	MS04-022
タイトル	タスクスケジューラの脆弱性により、コードが実行される (841873)
概要	タスクスケジューラのアプリケーション名のチェック方法が原因で、リモートでコードが実行される脆弱性が存在します。
最大深刻度	緊急
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

セキュリティ情報の番号	MS04-023
タイトル	HTML ヘルプの脆弱性により、コードが実行される (840315)
概要	2 つのリモートからコードを実行させられる脆弱性が HTMLヘルプに存在します。
最大深刻度	緊急
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

Top of section

重要 (4 件)

セキュリティ情報の番号	MS04-019
タイトル	ユーティリティマネージャの脆弱性によりコードが実行される (842526)
概要	ユーティリティマネージャがアプリケーションを起動する方法に権限が昇格される脆弱性が存在します。
最大深刻度	重要
脆弱性の影響	特権の昇格
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

セキュリティ情報の番号	MS04-020
タイトル	POSIX の脆弱性により、コードが実行される (841872)
概要	POSIC サブシステムに権限が昇格される脆弱性が存在します。
最大深刻度	重要
脆弱性の影響	特権の昇格
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

セキュリティ情報の番号	MS04-021
タイトル	Internet Information Server 4.0 のセキュリティ更新プログラム(841373)
概要	Internet Information Server (IIS) 4.0 にバッファーオーバーフローの脆弱性が存在します。
最大深刻度	重要
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

セキュリティ情報の番号	MS04-024
タイトル	Windows シェルの脆弱性により、リモートでコードが実行される (839645)
概要	Windows Shell がアプリケーションを起動する方法にリモートからコードを実行される脆弱性が存在します。この脆弱性の悪用には、ユーザーの操作が必要になります。
最大深刻度	重要
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

Top of section

警告 (1 件)

セキュリティ情報の番号	MS04-018
タイトル	Outlook Express 用の累積的なセキュリティ更新プログラム (823353)
概要	サービス拒否の脆弱性が存在し、攻撃者が特殊な電子メールを送信することで Outlook Express が停止する可能性があります。
最大深刻度	警告
脆弱性の影響	サービス拒否
影響を受けるソフトウェア	Windows, Outlook Express 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

Top of section

影響を受けるソフトウェアおよびダウンロード先

この表はどのように使用しますか?

この表を使用して、インストールが必要なセキュリティ更新プログラムに関する情報をご確認ください。表に記載されているソフトウェアプログラムまたはコンポーネントをチェックし、セキュリティ更新プログラムが必要かどうかを確認する必要があります。ソフトウェアプログラムまたはコンポーネントが表に記載されている場合、そのプログラムまたはコンポーネントへの脆弱性の影響とインストール可能なソフトウェアの更新プログラムへのハイパーリンクが記載されます。

表中に、カッコの中に数字 [x] があるマークがありますが、このマークはその問題について説明する注意書きがあることを示しています。それらの注意書きは表の最下部に記載されています。

注 : ひとつの脆弱性のために複数のセキュリティ更新プログラムをインストールする必要がある場合があります。上記の各セキュリティ情報の番号の表全体をご覧になり、お使いのシステムにインストールしてあるプログラムまたはコンポーネントをもとに、インストールする必要がある更新プログラムをご確認ください。

たとえば、セキュリティ情報 MS04-017 は、インストールされた影響を受けるソフトウェアおよびコンポーネントによって必要なセキュリティ更新プログラムが複数あります。

影響を受けるソフトウェアおよびダウンロード先

	詳細	詳細	詳細	詳細	詳細	詳細	詳細	詳細
セキュリティ情報の番号	MS04-018	MS04-019	MS04-020	MS04-021	MS04-022	MS04-023	MS04-024	MS04-025
最大深刻度	警告	重要	重要	重要	緊急	緊急	重要	緊急
影響を受ける Windows製品
Windows Server™ 2003	[3]					緊急	重要
Windows Server 2003 64-Bit Edition	[3]					緊急	重要
Windows XP	[3]				緊急	緊急	重要
Windows XP Service Pack 1	[3]				緊急	緊急	重要
Windows XP 64-Bit Edition Service Pack 1	[3]				緊急	緊急	重要
Windows XP 64-Bit Edition Version 2003	[3]					緊急	重要
Windows 2000 Service Pack 2	[3]	重要	重要		緊急	緊急	重要
Windows 2000 Service Pack 3	[3]	重要	重要		緊急	緊急	重要
Windows 2000 Service Pack 4	[3]	重要	重要		緊急	緊急	重要
Windows NT® Workstation 4.0 Service Pack 6a	[3]		重要	重要	[1]	[1]	重要
Windows NT Server 4.0 Service Pack 6a	[3]		重要	重要	[1]	[1]	重要
Active Desktop 機能が有効な Windows NT Workstation 4.0 Service Pack 6a および Windows NT Server 4.0 Service Pack 6a with	[3]						重要[5]
Windows NT Server 4.0 Terminal Server Edition Service Pack 6	[3]		重要		[1]	[1]	重要
Windows Millennium Edition (Me)	[2]					緊急	[2]
Windows 98 Second Edition (SE)	[2]					緊急	[2]
Windows 98	[2]					緊急	[2]

影響を受ける Windows のコンポーネント:
Outlook Express 5.5 Service Pack 2	影響なし[4]
Outlook Express 6	警告
Outlook Express 6 Service Pack 1	影響なし[4]
Outlook Express 6 Service Pack 1 (64 bit Edition)	影響なし[4]
Outlook Express 6 on Windows Server 2003	影響なし[4]
Microsoft Outlook Express 6 on Windows Server 2003 (64 bit edition)	影響なし[4]
Internet Explorer 5.01 Service Pack 2								緊急
Internet Explorer 5.01 Service Pack 3								緊急
Internet Explorer 5.01 Service Pack 4								緊急
Internet Explorer 5.5 Service Pack 2								緊急
Internet Explorer 6								緊急
Internet Explorer 6 Service Pack 1					緊急	緊急		緊急
Internet Explorer 6 Service Pack 1 (64-bit Edition)								緊急
Internet Explorer 6 for Windows Server 2003								緊急
Internet Explorer 6 for Windows Server 2003 (64-bit Edition)								緊急

注:

[1]このオペレーティングシステムは、既定でこの問題の影響を受けません。しかし、このオペレーティングシステムは他のソフトウェアプログラム、または、コンポーネントがインストールされている場合に、この脆弱性の影響を受ける可能性があります。特にこのケースでは、Internet Explorer 6 Service Pack 1 がインストールされている場合、Windows NT4 はこの問題の影響を受けます。詳細は、該当のセキュリティ情報をご覧ください。

[2] このオペレーティングシステムは、この脆弱性の影響を受ける可能性があります。しかし、その深刻度は「緊急」ではありません。深刻度が「緊急」以外の問題に対するセキュリティ更新プログラムは、通常、このオペレーティングシステムには提供されません。このオペレーティングシステムに対するマイクロソフトサポートライフサイクルポリシーに関する詳細は、次の Web サイトをご覧下さい。また、各セキュリティ情報にて詳細をご覧下さい。

[3] このオペレーティングシステムはこの問題の影響を受けます。詳細は、影響を受けるコンポーネントを確認し、該当のセキュリティ情報をご覧ください。

[4] このバージョンの Outlook Express は、この脆弱性の影響を受けません。しかし、このセキュリティ更新プログラムにより、Outlook Express 5.5 Service Pack 2 の既定のセキュリティ設定が、より制限される設定に変更され、Outlook Express 6 SP1 およびそれ以降のバージョンで MS04-013 により発生したWindows アドレス帳の予測できる場所に “~” のファイル名で、コピーが作成される問題が解決されます。

[5] Active Desktop 機能が有効になっているかどうか確認するには、MS03-014 のセキュリティ情報をご覧下さい。

Top of section

展開

Software Update Services (SUS):

Microsoft Software Update Services (SUS) は、最新の重要な更新プログラムを適用し、Windows ベースのシステムを最新の状態に維持するプロセスを大幅に簡素化する目的で開発されました。SUS により、重要な更新プログラムを Windows 2000 や Windows Server 2003 ベースのサーバー、ならびに Windows 2000 Professional や Windows XP Professional を実行するデスクトップコンピュータへ迅速かつ確実に配布することができます。

Software Update Services に関するより詳細な情報は以下をご覧ください。

•	Software Update Services

Systems Management Server (SMS):

System Management Server は、このセキュリティ更新プログラムの展開を補助する機能を提供します。System Management Serverに関する情報は、SMS Web サイトをご覧ください。SMS 2003 にはセキュリティ更新プログラムの展開プロセスを強化する機能が多く含まれています。その詳細情報に関しては、SMS 2003 セキュリティパッチ管理をご参照ください。SMS 2.0 をご使用の方には、セキュリティ更新プログラムの展開管理を補助するツール、SMS Software Update Services Feature Pack や、SMS Administration Feature Pack が提供されています。SMS 2.0 Software Update Services Feature Pack は、Microsoft Baseline Security Analyzer と Microsoft Office Detection ツールを使用して、セキュリティ更新プログラムの配布を広くサポートします。ソフトウェアの更新プログラムの中には、適用後にコンピュータを再起動するために管理者権限を必要とするものがあります。

注意:SMS 2.0 Software Update Services Feature Pack のインベントリ機能は特定のコンピュータのソフトウェアの更新、SMS 2.0 Administration Feature Pack の上位権利での展開ツールは、アプリケーションの展開が可能です。特定の更新でシステムの再起動後にローカルの管理者権限が必要となる場合に最適な配布方法を提供します。

QChain.exe および Update.exe:

システム管理者がセキュリティ更新プログラムを安全に連結するためのツール (QChain.exe) を公開しています。連結することで、複数の更新プログラムを更新プログラム毎に再起動する必要がありません。 update.exe は、この情報内の更新で使われており、連結するために必要な機能が提供されています。 Windows 2000 Service Pack 3 以降、Windows XP または、Windows Server 2003 をお使いのお客様は、連結のために Qchain.exe は必要としません。しかし、Qchain.exe は Windows の更新プログラム全般もサポートするので、管理者はすべてのプラットフォームにわたって一貫した展開スクリプトを作成することができます。

•	Qchain ツールの入手先 :(英語情報)

Microsoft Baseline Security Analyzer (MBSA):

Microsoft Baseline Security Analyzer は、管理者によりローカルコンピュータやリモートコンピュータの未適用のセキュリティ更新プログラムの確認、一般的なセキュリティの設定の検査を行うことができます。

•	MBSA の詳細情報 : Microsoft Baseline Security Analyzer V1.2

Top of section

関連情報:

謝辞:

マイクロソフトは顧客の保護のために協力して下さった、以下の方々に深い謝意を表します。

•	MS04-019 の問題を報告して下さった Application Security Inc 社の Cesar Cerrudo 氏
•	MS04-020 の問題を報告して下さった Network Associates 社の Rafal Wojtczuk
•	MS04-022 の問題を報告して下さった Security-Assessment.com 社の Brett Moore 氏
•	MS04-022 の問題を報告して下さった Dustin Schneider 氏
•	MS04-022 の問題を報告して下さった Next Generation Security Software Ltd 社の Peter Winter-Smith 氏
•	MS04-023 の問題を報告して下さった Security-Assessment.com 社の Brett Moore 氏

サポート:

•	セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフトセキュリティ情報センターまでご連絡ください。マイクロソフトセキュリティ情報センター
•	その他、製品に関するご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。
•	製品のサポート期間の詳細は、マイクロソフトサポートライフサイクル Web サイトをご参照ください。製品別情報の詳細は、同様にマイクロソフトサポートライフサイクル Web サイトの製品を探すからご確認ください。

その他のセキュリティ情報

•	セキュリティ更新プログラムに関するよく寄せられる質問
•	今月のセキュリティ情報
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer MBSA ツールのセキュリティ更新プログラムの検出に関する制限は、サポート技術情報 306460をご覧下さい。
•	Windows Update
•	Windows Update カタログの使い方については、サポート技術情報 323166 をご覧下さい。
•	Office Update

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

•	2004/7/14: このセキュリティ情報ページを公開しました。 2004/7/15: Windows Me のセキュリティ更新プログラムのリンクを修正しました。 2004/7/31: セキュリティ情報 MS04-025 の情報を追加しました。

Top of section

ページのトップへ