セキュリティ > セキュリティ情報検索

MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)

公開日: 2005年4月13日 | 最終更新日: 2005年5月12日

概要 :

このセキュリティ情報の対象となるユーザー : MSN Messenger をご使用のお客様

脆弱性の影響 : リモートでコードが実行される

最大深刻度 : 緊急

推奨する対応策 : お客様はこの更新プログラムを直ちにインストールして下さい。

含まれる過去の更新プログラム : このセキュリティ情報で提供される更新プログラムは、以前提供された更新プログラムに置き換わるものです。置き換わる更新プログラムの一覧については、このセキュリティ情報の「よく寄せられる質問」をご覧下さい。

警告 : なし

テストしたソフトウェアおよびセキュリティ更新プログラムのダウンロード先 :

影響を受けるソフトウェア :

PC/AT および PC-9800

MSN Messenger 6.2

ダウンロード

ダウンロードこのマークをクリックして、更新プログラムをダウンロードしてください。

影響を受けないソフトウェア

MSN Messenger 7.0

上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧下さい。

Top of sectionTop of section

詳細

要点

この更新プログラムは新たに確認され、非公開で報告された脆弱性を解決します。この脆弱性については、このセキュリティ情報の「脆弱性の詳細」の欄で説明しています。

攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。

深刻度および脆弱性識別番号 :

脆弱性識別番号脆弱性の影響MSN Messenger 6.2

MSN Messenger の脆弱性 - CAN-2005-0562

リモートでコードが実行される

緊急

すべての脆弱性の総合的な深刻度

-

緊急

この評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形態およびこの脆弱性がシステムに及ぼす影響に基づいています。

Top of sectionTop of section

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

この更新プログラムにより何が置き換えられますか?

これは、以前にリリースされた更新プログラムに置き換わる更新プログラムです。セキュリティ情報の ID 番号および影響を受けるオペレーティング システムのバージョンを次の表に記載します。

セキュリティ情報番号MSN Messenger 6.2

MS05-009

置き換わる

Microsoft Baseline Security Analyzer (MBSA)を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?

いいえ。MBSA は、MSN Messenger をサポートせず、MSN Messenger にこの更新プログラムが必要かどうかチェックすることはできません。しかし、マイクロソフトは MSN Messenger のセキュリティ更新プログラムが必要かどうかを確認するための Enterprise Update Scanning Tool (EST) を開発しました。

MBSA が現在検出しないプログラムに関する詳細情報は、マイクロソフト サポート技術情報 306460 をご覧下さい。MBSA に関する詳細は、MBSA Web サイトをご覧下さい。

Enterprise Update Scanning Tool (EST) とは何ですか?

セキュリティ情報クラスのセキュリティ更新プログラムのための検出ツールを提供するというお約束の一部として、Microsoft Baseline Security Analyzer (MBSA) および Office 検出ツール (ODT) が MSRC のリリース サイクルについて、更新プログラムが必要とされるかどうかを検出できない場合、マイクロソフトは、スタンドアロンの検出ツールを提供します。このスタンドアロン ツールは Enterprise Update Scanning Tool (EST) と呼ばれ、企業の管理者向けに設計されています。Enterprise Update Scanning Tool のバージョンが、特定のセキュリティ情報向けに作成されると、お客様はそのツールをコマンド ライン インターフェース (CLI) から実行し、XML 出力ファイルの結果を表示することができます。お客様がこのツールをよりよく活用していただけるように、ツールの詳細な説明が提供される予定です。また、SMS 管理者に統合されたエクスペリエンスを提供するツールのバージョンもあります。

Enterprise Update Scanning Tool (EST) のバージョンを使用してこの更新プログラムが必要であるかどうかを確認することはできますか?

はい。マイクロソフトは、この更新プログラムを適用する必要があるかどうかを確認する Enterprise Update Scanning Tool を作成しました。今月リリースの EST のバージョンに関する情報は、次のマイクロソフトの Web サイトをご覧下さい。今月リリースの EST のバージョンに関する詳細な適用情報は、次のマイクロソフトの Web サイトをご覧下さい。

また、SMS を使用しているお客様が次のマイクロソフトの Web サイトから入手できるこのツールのバージョンもあります。また、このツールは SMS を使用しているお客様に SMS の Web サイトから利用可能である場合もあります。

Systems Management Server (SMS) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?

いいえ。SMS は検出のために MBSA を使用しますが、この更新プログラムは MBSA により検出されません。SMS に関する情報は SMS の Web サイトをご覧下さい。

また、SMS を使用しているお客様が入手できるツールのバージョンは次のマイクロソフトの Web サイトから利用可能で、SMS 管理者に統合されたエクスペリエンスを提供します。

Microsoft Windows およびそのほかの影響を受けるマイクロソフト製品を検出するために、Security Update Inventory Tool が必要となります。セキュリティ更新インベントリ ツールの制限に関する詳細情報は、マイクロソフト サポート技術情報 306460 をご覧下さい。

SMSに関する詳細情報は、次の SMS Web サイトをご覧下さい。

SMS の Inventory and Software Distribution (英語情報)の機能を使用して、この更新プログラムを展開することができます。

Top of sectionTop of section

脆弱性の詳細

MSN Messenger の脆弱性 - CAN-2005-0562

MSN Messenger にリモートでコードが実行される脆弱性が存在し、これにより、攻撃者がこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。

「MSN Messenger の脆弱性」 - CAN-2005-0562 の問題を緩和する要素

MSN Messenger は既定で、匿名ユーザーがメッセージを送信することを許可しません。まず、ユーザーにメンバ リストに攻撃者を追加させることが攻撃者にとっての必要条件となります。

Top of sectionTop of section
「MSN Messenger の脆弱性」 - CAN-2005-0562 の回避策

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策が機能の低下の原因となる場合、下記に示します。

現在のメンバ リストに追加されているすべてのメンバをチェックし、知らないメンバまたは信頼されない、または必要ないメンバを削除またはブロックして下さい。

知らない、または信頼されないメンバからのファイルの転送を受けることに同意しないで下さい。

企業の環境で、MSN Messenger および Web Messenger へのアクセスをブロックして下さい。

企業の環境で、送信ポート 1863 へのアクセスをブロックします。

注: MSN Messenger サービスは、直接的な接続が確立されると、ポート 1863 を介し接続されます。直接的な接続が確立できない場合、MSN Messenger サービスは、ポート 80 を介し接続されます。

gateway.messenger.hotmail.com への HTTP アクセスをブロックします。MSN Web Messenger へのアクセスをブロックしたい場合、webmessenger.msn.com への HTTP アクセスもブロックする必要があります。

回避策の影響: MSN Messenger クライアントは、MSN Messenger ネットワークに接続できなくなります。

Top of sectionTop of section
「MSN Messenger の脆弱性」 - CAN-2005-0562 のよく寄せられる質問:

MSN Messenger 7.0 のベータ版はこの脆弱性の影響を受けますか?

はい。この脆弱性は MSN Messenger 7.0 ベータ版のリリース後に報告されました。MSN Messenger の 7.0 ベータ版を実行しているお客様は、この脆弱性の影響を受けないリリースされているバージョンへアップグレードすることを推奨します。

どのようなことが起こる可能性がありますか?

これはリモートでコードが実行される脆弱性です。攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータが完全に制御される可能性があります。

何が原因で起こりますか?

MSN Messenger には GIF イメージ形式のファイルをレンダリング、表示する機能があります。不適切な高さおよび幅を持つ不正な GIF イメージは MSN Messenger により適切に処理されない場合があります。

GIFとは何ですか?

GIF とは、Graphic Interchange Format の略語です。これは 8 ビットのビデオ ボードとより互換性のある古い 256 カラー パレットです。これは、多くは PNG および TIF グラフィックス形式に取って代わられました。

この脆弱性により、攻撃者は何を行う可能性がありますか?

攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。

どのような人物によりこの脆弱性が悪用される可能性がありますか?

攻撃者は、ユーザーに攻撃者をメンバ リストに追加させ、特別な細工をした絵文字を送る、または写真を表示させることにより、この脆弱性を悪用しようとする可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

ワークステーションおよびターミナル サーバーが、主にこの脆弱性による危険にさらされます。十分な管理者資格情報を所有していないユーザーが、サーバーにログオンし、プログラムを実行する権限を与えられている場合に、サーバーがこの脆弱性による危険によりさらされる可能性があります。しかし、セキュリティ上の最善策としては、このような設定を行わないことが強く推奨されています。

Windows 98Windows 98 Second Edition または Windows Millennium Edition はこのセキュリティ情報で解決される脆弱性による深刻な影響を受けますか?

はい。影響を受ける MSN Messenger のバージョンを実行しているお客様は、MSN Messenger の更新されたバージョンをインストールして下さい。

この更新プログラムは何を修正しますか?

この更新プログラムは MSN Messenger が GIF ファイルを処理する前に、それを検証する方法を変更することにより、この脆弱性を排除します。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?

いいえ。マイクロソフトは信頼される情報元からこの脆弱性に関する情報を受けました。

この脆弱性は MS05-009 で修正されている「PNG 処理の脆弱性」とどのように関連しますか?

両方の脆弱性とも、グラフィックス形式に影響を及ぼします。しかし、この更新プログラムは MS05-009 の一部として解決されなかったグラフィックス形式の異なる種類に存在する新しい脆弱性を解決します。MS05-009 は、そのセキュリティ情報で説明した脆弱性に対応します。しかし、この新しい脆弱性は解決しません。この更新プログラムは MSN Messenger についての MS05-009 に置き換わるものです。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

セキュリティ更新プログラムに関する情報

影響を受けるソフトウェア

以下の情報の中から、ご使用のプラットフォーム向けのセキュリティ更新プログラムに関する情報をご覧ください。

MSN Messenger 6.2

必要条件 :

このセキュリティ更新プログラムを適用するには、MSN Messenger 6.2 がインストールされている必要があります。

再起動の必要性:

この更新プログラムは、コンピュータの再起動を必要とする場合があります。

削除に関する情報:

この更新プログラムはアンインストールすることができません。

更新プログラムが正しくインストールされたかどうか確認する方法 :

影響を受けるコンピュータ上に、セキュリティ更新プログラムがインストールされたかどうか確認するには、以下のステップを行ってください。

1.

MSN Messenger で、[ヘルプ] をクリックし、[MSN Messenger のバージョン情報] をクリックします。

2.

バージョン番号をチェックします。

バージョン番号が 6.2.0208 またはそれ以降であれば、この更新プログラムは正常にインストールされています。

Top of sectionTop of section
Top of sectionTop of section

謝辞

この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。

「MSN Messenger の脆弱性」(CAN-2005-0562) を報告してくださった Hongzhen Zhou

他のセキュリティ更新プログラムの入手先 :

他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。

コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。

本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。

他のセキュリティ情報 :

Microsoft TechNet Security センター では、製品に関するセキュリティ情報を提供しています。

Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/

Microsoft Baseline Security Analyzer (MBSA) : http://www.microsoft.com/japan/technet/security/Tools/mbsahome.mspx MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。

Windows Update カタログ : http://support.microsoft.com/kb/323166

Microsoft Update : http://update.microsoft.com/microsoftupdate/

Office のアップデート : http://office.microsoft.com/officeupdate/

Software Update Services (SUS) :

Microsoft Software Update Services (SUS) は、最新の重要な更新プログラムを適用し、Windows ベースのシステムを最新の状態に維持するプロセスを大幅に簡素化する目的で開発されました。SUS により、重要な更新プログラムを Windows® 2000 や Windows Server™ 2003 ベースのサーバー、ならびに Windows® 2000 Professional や Windows XP Professional を実行するデスクトップ コンピュータへ迅速かつ確実に配布することができます。Microsoft Software Update Services でこのセキュリティ更新プログラムを適用する方法に関する情報は、次のマイクロソフトの Web サイトをご覧ください。
Software Update Services の概要

Systems Management Server :

Microsoft Systems Management Server (SMS) は更新プログラムを管理するための、構成可能なエンタープライズ ソリューションを提供します。SMS により、管理者はセキュリティ更新プログラムを必要とする Windows ベースのコンピュータを識別し、エンタープライズ全体で、エンド ユーザーへの中断を最小限にして、これらの更新プログラムの適用を管理することができます。セキュリティ更新プログラムを適用するための SMS 2003 の使用方法に関する詳細情報は SMS 2003 セキュリティ パッチ管理 Web サイトをご覧下さい。SMS 2.0 ユーザーもまた、Software Updates Service Feature Pack を活用して、セキュリティ更新プログラムの適用を支援することができます。SMS に関する情報は SMS の Web サイトをご覧下さい。

SMS は Microsoft Baseline Security Analyzer、Microsoft Office 検出ツールおよび Enterprise Update Scanning Tool を活用してセキュリティ情報で提供された更新プログラムの検出と適用について広範なサポートを提供します。これらのツールにより検出されないソフトウェアの更新プログラムもあります。管理者は、特定のコンピュータへの更新プログラムを対象とし、これらの場合に SMS のインベントリ機能を使用することができます。この手順に関する詳細情報は、こちらの Web サイト (英語情報) をご覧下さい。コンピュータの再起動後、管理者権限を必要とするセキュリティ更新プログラムもあります。管理者は、SMS 2.0 Administration Feature Pack の上位権利での展開ツール (SMS Administration Feature Pack (英語情報) および SMS 2.0 Administration Feature Pack でご利用可能です) は、これらの更新プログラムのインストールに使用することができます。

サポート :

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。
マイクロソフト セキュリティ情報センター

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。

マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

製品のサポート期間の詳細は、マイクロソフト サポート ライフサイクル Web サイトをご参照ください。製品別情報の詳細は、同様にマイクロソフト サポート ライフサイクル Web サイトの 製品を探すからご確認ください。

詳細情報 :

US マイクロソフトセキュリティ情報(MS05-022)
http://www.microsoft.com/technet/security/bulletin/ms05-022.mspx

サポート技術情報 (KB) 文書番号 :896597
[MS05-022] MSN Messenger の脆弱性により、リモートでコードが実行される

更新履歴:

2005/04/13: このセキュリティ情報ページを公開しました。

2005/05/12: このセキュリティ情報を更新し、MSN Messenger 6.2 の正しいファイルバージョンを記載しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。


ページのトップへページのトップへ