マイクロソフト セキュリティ情報 MS07-054 - 重要

このアップグレードはどのように配布されるのですか?
Microsoft Windows 2000 Service Pack 4 のサポートされているエディション上で MSN Messenger 6.2 および MSN Messenger 7.0 を使用しているユーザーが MSN Messenger サービスにサインインすると、MSN Messenger サービスのクライアントの適用のメカニズムにより MSN Messenger 7.0.0820 へのアップグレードを受け入れるようメッセージが表示されます。

また、直ちに MSN Messenger 7.0.0820 へのアップグレードをダウンロードしたいユーザーは「影響を受けるソフトウェア」の表に記載されているダウンロード センターのリンクを使用することにより、ダウンロードすることもできます。 これは、Microsoft Windows 2000 Service Pack 4 のサポートされているエディションで MSN Messenger 6.2 および MSN Messenger 7.0 を使用しているユーザーにのみに該当することに注意してください。

Microsoft Windows 2000 Service Pack 4 より後のプラットフォームで MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 および Windows Live Messenger 8.0 を使用しているユーザーが MSN Messenger または Windows Live Messenger サービスにサインインすると、MSN Messenger または Windows Live Messenger サービスのクライアントの適用のメカニズムにより Windows Live Messenger 8.1 へのアップグレードを受け入れるようメッセージが表示されます。

また、直ちに Windows Live Messenger 8.1 へのアップグレードをダウンロードしたいユーザーは「影響を受けるソフトウェア」の表に記載されているダウンロード センターのリンクを使用することにより、ダウンロードすることもできます。 これは Microsoft Windows 2000 Service Pack 4 以降のプラットフォームのサポートされているエディションで MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 および Windows Live Messenger 8.0 を使用しているユーザーにのみ該当することに注意してください。

または、MSN Messenger または Windows Live Messenger クライアントの影響を受けるバージョンを使用しているユーザーは MSN Messenger または Windows Live Messenger サービスに接続を許可されなくなる場合があります。

マイクロソフトはなぜこのアップグレードをダウンロードの提供とともに、MSN Messenger または Windows Live Messenger のサービスで公開しているのですか?
マイクロソフトは現在、MSN Messenger または Windows Live Messenger のサービスを使用して MSN Messenger または Windows Live Messenger クライアント用のアップグレードを公開しています。この理由は、これらのオンライン サービスには独自のクライアントの適用のメカニズムがあるためです。 しかし、ダウンロード センターのリンクもまた、「影響を受けるソフトウェア」の表に記載されているプラットフォームで実行されている特定の MSN Messenger または Windows Live Messenger のクライアントに利用可能です。この理由は、ユーザーは直ちにアップグレードをダウンロードすることを望んでいる場合もあるためです。

これがアップグレードであるとすれば、MSN Messenger または Windows Live Messenger の影響を受けるバージョンをどのように検出できるのですか?
MSN Messenger または Windows Live Messenger サービスにサインインしようとすると、クライアントの適用のメカニズムが自動的に現在使用されているクライアントおよびプラットフォームのバージョンを確認し、必要であれば適切なアップグレードを推奨します。また、[ヘルプ] をクリックし、次に MSN Messenger または Windows Live Messenger の [バージョン情報] をクリックすることにより、MSN Messenger または Windows Live Messenger のクライアントのバージョンを確認することもできます。

MSN Messenger 7.0.0820 または Windows Live Messenger 8.1 にアップグレードしないと、どうなりますか?
MSN Messenger または Windows Live Messenger のクライアントの影響を受けない安全なバージョンにアップグレードしないと、サインインするごとに、アップグレードするよう通知されます。アップグレードを受け入れないと、MSN Messengerまたは Windows Live Messenger サービスへのアクセスが許可されない場合があります。プラットフォームおよび MSN Messengerおよび Windows Live Messenger クライアントの安全なアップグレード・バージョンについての詳細は、このセクションの「影響を受けないソフトウェア」の表をご覧ください。

Windows Messenger や Office Communicator などのそのほかの Microsoft Real-Time Collaboration アプリケーションはこの脆弱性による影響を受けますか?
いいえ。そのほかのメッセージング アプリケーションは、影響を受けるコンポーネントを含まないため、影響を受けません。

MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 および Windows Live Messenger 8.0 にリモートでコードが実行される脆弱性が存在します。この脆弱性により、ユーザーが攻撃者からの Web カメラまたはビデオ チャットの誘いを受け入れた場合、リモートでコードが実行される可能性があります。攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2007-2931 をご覧ください。

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

•	この脆弱性が悪用されるには、ユーザーに MSN Messenger または Windows Live Messenger のメッセージで Web カメラまたはビデオ チャットの誘いを受け入れさせることが攻撃者にとっての必要条件となります。攻撃者がユーザーに強制的に Web カメラまたはビデオ チャットの誘いを受け入れさせる方法はありません。そのかわり、ユーザーに Web カメラまたはビデオ チャットの誘いを受け入れさせることが攻撃者にとっての必要条件となります。
•	この脆弱性が悪用された場合、攻撃者がローカル ユーザーと同じ権限を取得する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
•	2007 年 1 月にリリースされた Windows Live Messenger 8.1 のユーザーはこの脆弱性から既に保護されています。

Top of section

回避策は、設定または構成の変更を示し、基本的な脆弱性を修正するものではありませんが、アップグレードを行う前に既知の攻撃方法をブロックするのに役立ちますマイクロソフトは次の回避策をテストし、詳細の欄で回避策が機能性を削減するかどうか説明しています。

•	ISA Server を使用して MSN Messenger または Windows Live Messenger のトラフィックをブロックする。マイクロソフト サポート技術情報 925120 をご覧ください。 回避策の影響: これにより、企業において MSN Messenger または Windows Live Messenger のトラフィックの出入が妨げられます。
•	MSN Messenger または Windows Live Messenger のネットワーク ポートの選択をブロックする。マイクロソフト サポート技術情報 927847 をご覧ください。 回避策の影響: MSN Messenger または Windows Live Messenger のトラフィックが完全にブロックされるのとは対照的に、これにより、管理者が Web カメラおよびビデオ チャット セッションを選択して阻止することができます。

Top of section

どのようなことが起こる可能性がありますか?
これはリモートでコードが実行される脆弱性です。攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

何が原因で起こりますか?
MSN Messenger または Windows Live Messenger が特別な細工がされた Web カメラまたはビデオ チャット セッションを処理する方法に脆弱性が存在します。この結果、メモリは攻撃者がログオンしているユーザーのセキュリティ コンテキストで任意のコードを実行する可能性のある方法で破損する可能性があります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者はユーザーに招待状を送信し、この脆弱性の悪用を意図して設計された特別な細工がされた Web カメラまたはビデオ チャット セッションに参加させようとする可能性があります。。しかし、攻撃者がユーザーに強制的に Web カメラまたはビデオ チャットの誘いを受け入れさせる方法はありません。そのかわり、ユーザーに Web カメラまたはビデオ チャットの誘いを受け入れさせることが攻撃者にとっての必要条件となります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?
この脆弱性が悪用され、悪意のある操作が行われるには、ユーザーが MSN Messenger または Windows Live Messenger サービスにサインインし、 Web カメラまたはビデオ チャットの誘いを受け入れることが攻撃者にとっての必要条件となります。このため、MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 または Windows Live Messenger 8.0 が使用されているワークステーションやサーバーなど、すべてのコンピュータがこの脆弱性による危険にさらされます。

この更新プログラムはどのように問題を修正しますか?
MSN Messenger 7.0.0820 および Windows Live Messenger 8.1 は、ビデオ チャットのセッションを十分に管理するよう更新されています。

Web カメラを使用していない場合でもアップグレードする必要がありますか?
はい。アップグレードされていない場合、ユーザーがサインオンすると、MSN Messenger または Windows Live Messenger サービスにより、使用されているプラットフォーム用の適切な MSN Messenger または Windows Live Messenger のクライアントにアップグレードするよう通知されます。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていましたか?
はい。この脆弱性は一般に知られていました。これは Common Vulnerability and Exposure の CVE-2007-2931 にアサインされています。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか? ?
いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された時に、公開された検証用コードの例の存在を確認していましたが、この脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けていませんでした。

Top of section

影響を受けるソフトウェア

影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。

参照表

次の表には MSN Messenger 7.0.0820 にアップグレードするための情報が含まれています。

参照表
必要条件
	Microsoft Windows 2000 Service Pack 4 上の MSN Messenger 6.2 Microsoft Windows 2000 Service Pack 4 上の MSN Messenger 7.0
適用
	MSN Messenger サービスにサインオンした時に、MSN Messenger 7.0.0820 へのアップグレードの確認メッセージを受け入れてください。 また、直ちに MSN Messenger 7.0.0820 へのアップグレードをダウンロードしたいユーザーは「影響を受けるソフトウェア」の表に記載されているダウンロード センターのリンクを使用することにより、ダウンロードすることもできます。 これは、Microsoft Windows 2000 Service Pack 4 のサポートされているエディションで MSN Messenger 6.2 および MSN Messenger 7.0 を使用しているユーザーにのみに該当することに注意してください。
再起動に関する情報
再起動の必要性	あり。アップグレード中にコンピュータで複数の MSN Messenger のセッションがアクティブであるユーザーが存在する場合、アップグレード後にコンピュータを再起動する必要がある場合もあります。
削除に関する情報
	[コントロール パネル] の [プログラムの追加と削除] を使用してください。
アップグレードの確認
	MSN Messenger で、[ヘルプ] をクリックし、[MSN Messenger のバージョン情報] をクリックします。バージョン番号が 7.0.0820 であることを確認します。

Top of section

参照表

次の表には Windows Live Messenger 8.1.0178.00 にアップグレードするための情報が含まれています。

参照表
必要条件
	Windows XP Service Pack 2 上 : MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0 Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 上 : MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0 Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 上 : MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0 Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2 上 : MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0 Windows Vista および Windows Vista x64 Edition 上 : MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0
適用
	MSN Messenger または Windows Live Messenger サービスにサインオンした時に、Windows Live Messenger 8.1 へのアップグレードの確認メッセージを受け入れてください。 また、直ちに Windows Live Messenger 8.1 へのアップグレードをダウンロードしたいユーザーは「影響を受けるソフトウェア」の表に記載されているダウンロード センターのリンクを使用することにより、ダウンロードすることもできます。 これは Microsoft Windows 2000 Service Pack 4 以降のプラットフォームのサポートされているエディションで MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 および Windows Live Messenger 8.0 を使用しているユーザーにのみ該当することに注意してください。
再起動に関する情報
再起動の必要性	あり。アップグレード中にコンピュータで複数の MSN Messenger または MSN Live Messenger のセッションがアクティブであるユーザーが存在する場合、アップグレード後にコンピュータを再起動する必要がある場合もあります。
削除に関する情報
	[コントロール パネル] の [プログラムの追加と削除] を使用してください
アップグレードの確認
	Windows Live Messenger で [ヘルプ] をクリックし、次に [Windows Live Messenger のバージョン情報] をクリックします。バージョン番号が 8.1.0178.00 であることを確認します。

Top of section