マイクロソフト セキュリティ情報 MS09-013 - 緊急
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
概説
要点
このセキュリティ更新プログラムは一般で公開された Microsoft Windows HTTP Services (WinHTTP) に存在する 1 件の脆弱性および 2 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性は、リモートでコードが実行される可能性があります。攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 について、深刻度を「緊急」に評価しました。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。このセキュリティ更新プログラムは Windows HTTP サービスのエラー処理および証明書の検証方法を変更すると共に、Windows HTTP サービスに正しく NTLM の資格情報の反映の保護メカニズムを使用させることで、この脆弱性を解決します。この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
このセキュリティ更新プログラムは Windows HTTP サービスのエラー処理および証明書の検証方法を変更すると共に、Windows HTTP サービスが正しく NTLM の資格情報の反映の保護メカニズムを使用することで、この脆弱性を解決します。この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
推奨する対応策: 自動更新を有効にしている場合、このセキュリティ更新プログラムが自動的にダウンロードされインストールされるため、特別な操作を行う必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションに関する情報は、サポート技術情報 294871 をご覧ください。
この累積的なセキュリティ更新プログラムを手動でインストールしたい管理者およびエンタープライズ インストール、またはエンド ユーザーについては、マイクロソフトは更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスを使用して更新プログラムを確認することにより、この累積的な更新プログラムを直ちに適用することを推奨します。
このセキュリティ情報の後半の「検出および適用のツールとガイダンス」をご覧ください。
既知の問題: マイクロソフト サポート技術情報 960803 には、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明されています。
US マイクロソフトセキュリティ情報: http://www.microsoft.com/technet/security/bulletin/MS09-013.mspx
影響を受けるソフトウェアおよび影響を受けないソフトウェア
次の影響を受けるソフトウェアおよび影響を受けないソフトウェアの表では、サポート ライフサイクルが終了したソフトウェア バージョンは含んでいません。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧ください。
影響を受けるソフトウェアおよびそのダウンロード先:
このマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
| オペレーティング システム | PC/AT | PC-9800 | 最も深刻な脆弱性の影響 | 総合的な深刻度 | この更新プログラムによって置き換えられるセキュリティ情報 |
Microsoft Windows 2000 Service Pack 4 |
|
| リモートでコードが実行される | 緊急 | なし |
Windows XP Service Pack 2 および Windows XP Service Pack 3 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Vista および Windows Vista Service Pack 1 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Vista x64 Edition および Windows Vista x64 Edition Service Pack 1 |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2008 for 32-bit Systems* |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2008 for x64-based Systems* |
| - | リモートでコードが実行される | 緊急 | なし |
Windows Server 2008 for Itanium-based Systems |
| - | リモートでコードが実行される | 緊急 | なし |
*Windows Server 2008 Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、同じ深刻度でこの更新プログラムが適用されます。このインストール オプションに関する詳細情報は、Server Core をご覧ください。Server Core インストール オプションは Windows Server 2008 の特定のエディションには適用できないことに注意してください。詳細は、Server Core インストールオプションの比較をご覧ください。
このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ) |
脆弱性の詳細
深刻度および脆弱性識別番号 |
Windows HTTP サービスの整数アンダーフローの脆弱性 - CVE-2009-0086 |
Windows HTTP サービスがリモート Web サーバーから返された特定の値を処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または攻撃者の Web サーバーに接続させるために WinHTTP API を呼び出すサービスまたはアプリケーションと同じユーザー権限を持つ新たなアカウントを作成する可能性があります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2009-0086 をご覧ください。
「Windows HTTP サービスの整数アンダーフローの脆弱性」の問題を緩和する要素 - CVE-2009-0086: |
「Windows HTTP サービスの整数アンダーフローの脆弱性」の回避策 - CVE-2009-0086: |
「Windows HTTP サービスの整数アンダーフローの脆弱性」のよく寄せられる質問 - CVE-2009-0086: |
Windows HTTP サービスの証明書名の不一致の脆弱性 - CVE-2009-0089 |
デジタル証明書の識別名が十分に検証されないため、Windows HTTP サービスに、なりすましの脆弱性が存在します。DNS のなりすましのような特定の別の攻撃と組み合わせた場合に、攻撃者が Windows HTTP サービスを使用しているアプリケーション向けの Web サイトのデジタル証明書になりすます可能性があります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2009-0089 をご覧ください。
「Windows HTTP サービスの証明書名の不一致の脆弱性」の問題を緩和する要素 - CVE-2009-0089: |
「Windows HTTP サービスの証明書名の不一致の脆弱性」の回避策 - CVE-2009-0089: |
「Windows HTTP サービスの証明書名の不一致の脆弱性」のよく寄せられる質問 - CVE-2009-0089: |
Windows HTTP サービスの資格情報の反映の脆弱性 - CVE-2009-0550 |
ユーザーが攻撃者の Web サーバーに接続した際、Windows HTTP サービスが NTLM 資格情報を処理する方法にリモートでコードが実行される脆弱性が存在します。この脆弱性では、攻撃者が入手したユーザーの資格情報を再現し、ログオンしたユーザーのコンテキストでコードを実行する可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2009-0550 をご覧ください。
「Windows HTTP サービスの資格情報の反映の脆弱性」の問題を緩和する要素 - CVE-2009-0550: |
「Windows HTTP サービスの資格情報の反映の脆弱性」の回避策 - CVE-2009-0550: |
「Windows HTTP サービスの資格情報の反映の脆弱性」のよく寄せられる質問 - CVE-2009-0550: |
セキュリティ更新プログラムに関する情報
検出および展開ツールとガイダンス |
セキュリティ更新プログラムの展開 |
影響を受けるソフトウェア
影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。
Windows 2000 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされる更新プログラムのロールアップに含まれる可能性があります。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | Windows 2000 Service Pack 4: |
再起動しないインストール | Windows 2000 Service Pack 4: |
ログファイル | KB960803.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
Windows 2000 Service Pack 4: | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
Windows 2000 Service Pack 4: | |
ファイル情報 |
展開に関する情報 |
Windows XP (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | Windows XP Service Pack 2 および Windows XP Service Pack 3: |
サポートされているすべての x64 エディションの Windows XP: | |
再起動しないインストール | Windows XP Service Pack 2 および Windows XP Service Pack 3: |
サポートされているすべての x64 エディションの Windows XP: | |
ログファイル | KB960803.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用してください。システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB960803$\Spuninst フォルダーにあります。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
Windows XP Service Pack 2 および Windows XP Service Pack 3: | |
サポートされているすべての x64 エディションの Windows XP: | |
注: Windows XP Professional x64 Edition のサポートされているバージョンでは、このセキュリティ更新プログラムは Windows Server 2003 x64 Edition のサポートされているバージョンのセキュリティ更新プログラムと同じです。
ファイル情報 |
展開に関する情報 |
Windows Server 2003 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows Server 2003: |
サポートされているすべての Itanium-based エディションの Windows Server 2003: | |
サポートされているすべての x64 エディションの Windows Server 2003: | |
再起動しないインストール | サポートされているすべての 32-bit エディションの Windows Server 2003: |
サポートされているすべての Itanium-based エディションの Windows Server 2003: | |
サポートされているすべての x64 エディションの Windows Server 2003: | |
ログファイル | KB960803.log |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。 |
ホットパッチ | このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチに関する詳細情報は、サポート技術情報 897341 をご覧ください。 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用してください。システム管理者は Spuninst.exe ユーティリティを使用し、このセキュリティ更新プログラムを削除することができます。Spuninst.exe ユーティリティは %Windir%\$NTUninstallKB960803$\Spuninst フォルダーにあります。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
サポートされているすべての 32-bit エディション、Itanium-based エディションおよび x64 エディションの Windows Server 2003: | |
ファイル情報 |
展開に関する情報 |
Windows Vista (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows Vista: |
サポートされているすべての x64 エディションの Windows Vista: | |
再起動しないインストール | サポートされているすべての 32-bit エディションの Windows Vista: |
サポートされているすべての x64 エディションの Windows Vista: | |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
Windows Vista: | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリ キーの確認 | |
注:この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。 | |
ファイル情報 |
展開に関する情報 |
Windows Server 2008 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する修正は今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | サポートされているすべての 32-bit エディションの Windows Server 2008: |
サポートされているすべての x64 エディションの Windows Server 2008: | |
サポートされているすべての Itanium-based エディションの Windows Server 2008: | |
再起動しないインストール | サポートされているすべての 32-bit エディションの Windows Server 2008: |
サポートされているすべての x64 エディションの Windows Server 2008: | |
サポートされているすべてのItanium-based エディションの Windows Server 2008: | |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | あり。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
WUSA.exe を使用してコマンドラインで更新プログラムをアンインストールすることはできません。WUSA.exe によりインストールされた更新プログラムをアンインストールする 1 つの方法として、[コントロール パネル] をクリックし、次に [セキュリティ センター] をクリックします。[Windows Update] の下の [更新履歴の表示] をクリックし、[インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリ キーの確認 | |
注:この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。 | |
ファイル情報 |
展開に関する情報 |
その他の情報
謝辞
この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。
| • | 「Windows HTTP サービスの整数アンダーフローの脆弱性」 - CVE-2009-0086 を報告してくださった iSIGHT Partners の Greg MacManus 氏 |
| • | 「Windows HTTP サービスの証明書名の不一致の脆弱性」 - CVE-2009-0089 を報告してくださった Google の Wan-Teh Chang 氏および Cem Paya 氏 |
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。この様な保護環境を提供するセキュリティ ソフトウェア ベンダーの情報は、Microsoft Active Protections Program (MAPP) Partners (英語情報) に記載されている各社の Web サイトをご覧ください。
サポート
| • | セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。 |
| • | その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。 |
免責条項
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
| • | 2009/04/15: このセキュリティ情報ページを公開しました。 |
| • | 2009/04/30: このセキュリティ情報を更新し、「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」に、関連のサポート技術情報 960803 の「このセキュリティ更新プログラムに関する既知の問題」が更新されたことを追加しました。 今回の更新は情報のみの変更です。 |