マイクロソフトセキュリティ情報 MS07-057 - 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (939653)

公開日: 2007年10月10日 | 最終更新日: 2008年1月25日

概説

要点

この「緊急」のセキュリティ更新プログラムは、非公開で報告された 3 件の脆弱性および一般に公開された 1 件の公開された脆弱性を解決します。この脆弱性が最も重大な影響を与えた場合、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

Windows Server 2003 上の Internet Explorer 7 および 6 では、このセキュリティ更新プログラムの深刻度は「警告」です。Internet Explorer のそのほかのサポートされているすべてのリリースについては、この更新プログラムの深刻度は「緊急」です。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。

このセキュリティ更新プログラムはナビゲーションが行われた後、ブラウザウィンドウのコンテンツが存続しないようにすることによりこの脆弱性を排除します。この更新プログラムはエラーの例外の処理を変更し、開放されたメモリにアクセスが行われないようにして 4 件目の脆弱性を排除します。この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。

推奨する対応策: マイクロソフトは、お客様に直ちにこの更新プログラムを適用することを推奨します。

既知の問題:マイクロソフトサポート技術情報 939653 には、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明されています。

US マイクロソフトセキュリティ情報:http://www.microsoft.com/technet/security/bulletin/MS07-057.mspx

Top of section

影響を受けるソフトウェアおよび影響を受けないソフトウェア

次の影響を受けるソフトウェアおよび影響を受けないソフトウェアの表では、サポートライフサイクルが終了したソフトウェアバージョンは含んでいません。ご使用中の製品およびバージョンのサポートライフサイクルを確認するためには、マイクロソフトサポートライフサイクルの Web サイトをご覧ください。

影響を受けるソフトウェアおよびダウンロード先:

このマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

オペレーティングシステム	コンポーネント	PC/AT	PC-9800	最も深刻な脆弱性の影響	総合的な深刻度	この更新プログラムによって置き換えられるセキュリティ情報
Internet Explorer 5.01 および Internet Explorer 6 Service Pack 1
Microsoft Windows 2000 Service Pack 4	Microsoft Internet Explorer 5.01 Service Pack 4			リモートでコードが実行される	緊急	MS07-045
Microsoft Windows 2000 Service Pack 4	Microsoft Internet Explorer 6 Service Pack 1			リモートでコードが実行される	緊急	MS07-045
Internet Explorer 6
Windows XP Service Pack 2	Microsoft Internet Explorer 6		-	リモートでコードが実行される	緊急	MS07-045
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2	Microsoft Internet Explorer 6		-	リモートでコードが実行される	緊急	MS07-045
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2	Microsoft Internet Explorer 6		-	リモートでコードが実行される	警告	MS07-045
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2	Microsoft Internet Explorer 6		-	リモートでコードが実行される	警告	MS07-045
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based System	Microsoft Internet Explorer 6		-	リモートでコードが実行される	警告	MS07-045
Internet Explorer 7
Windows XP Service Pack 2	Windows Internet Explorer 7		-	リモートでコードが実行される	緊急	MS07-045
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2	Windows Internet Explorer 7		-	リモートでコードが実行される	緊急	MS07-045
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2	Windows Internet Explorer 7		-	リモートでコードが実行される	警告	MS07-045
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2	Windows Internet Explorer 7		-	リモートでコードが実行される	警告	MS07-045
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems	Windows Internet Explorer 7		-	リモートでコードが実行される	警告	MS07-045
Windows Vista	Windows Internet Explorer 7		-	リモートでコードが実行される	緊急	MS07-045
Windows Vista x64 Edition	Windows Internet Explorer 7		-	リモートでコードが実行される	緊急	MS07-045

Top of section

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

なぜ「ファイルに関する情報」の詳細がこのセキュリティ情報から削除されたのですか?
「ファイル情報」のセクションのサイズのため、このセキュリティ情報を表示するにあたり非常に時間がかかる場合がありました。これを避けるために、「ファイル情報」の詳細をサポート技術情報 939653 に移動しました。

今後の Internet Explorer のセキュリティ情報には「ファイル情報」の詳細が含まれるのですか??
いいえ、含まれません。この変更は今後も続くものと考えられています。今後の Internet Explorer のセキュリティ情報について、すべての「ファイル情報」の詳細は関連するサポート技術情報に公開される予定です。

このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題とは何ですか?
サポート技術情報 939653 に、このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題に関して説明されています。また、このサポート技術情報には、これらの問題に対する推奨される解決策に関する説明も記載されています。詳細情報は、サポート技術情報 939653 をご覧ください。

セキュリティ情報公開時からの既知の問題:

•	KB904710: Windows XP Service Pack 2 でカスタム管理用テンプレートファイルを作成しても設定したポリシーが WinINet で無視される

なぜこの更新プログラムはいくつかの報告されたセキュリティ上の脆弱性を解決するのですか?
これらの問題を解決するために必要な変更が関連するファイルに存在するため、この更新プログラムはいくつかの脆弱性を解決します。ユーザーは、ほぼ同一のファイルを含むいくつもの更新プログラムをインストールする代わりに、この更新プログラムのみをインストールすることができます。

この更新プログラムはそのほかのセキュリティ関連の変更を含みますか?
はい。このセキュリティ情報の [脆弱性の詳細] の一覧の変更とともに、この更新プログラムには次のセキュリティ関連の変更が含まれています。

•

この更新プログラムは、以前マイクロソフトセキュリティ情報で解決された ActiveX コントロール用の Kill Bit を設定します。

•

この MSXML2 のコントロールはマイクロソフトセキュリティ情報 MS06-061: Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) で解決しました。

•	{f5078f22-c551-11d3-89b9-0000f81fe221}
•	{f5078f1b-c551-11d3-89b9-0000f81fe221}
•	{f5078f1c-c551-11d3-89b9-0000f81fe221}
•	{f5078f1d-c551-11d3-89b9-0000f81fe221}
•	{f5078f1e-c551-11d3-89b9-0000f81fe221}
•	{f5078f21-c551-11d3-89b9-0000f81fe221}
•	{f5078f1f-c551-11d3-89b9-0000f81fe221}
•	{f5078f20-c551-11d3-89b9-0000f81fe221}
•	{f5078f28-c551-11d3-89b9-0000f81fe221}
•	{f5078f29-c551-11d3-89b9-0000f81fe221}
•	{f5078f26-c551-11d3-89b9-0000f81fe221}

この更新プログラムには、何らかの機能の変更が含まれますか?
はい。この更新プログラムにより、このセキュリティ情報の「脆弱性の詳細」の欄に記載されている変更の他、以下の機能の変更が起こります。

•	PNGs が MIME スニッフィングアルゴリズムの jpg/gif と同じ状態に昇格されます。例: サーバーが png のコンテンツの種類を送信した場合、Internet Explorer は magic-byte (マジックバイト) のテストを実行し、成功した場合、権限のあるサーバーの MIME の種類として処理します。

このセキュリティ情報で説明されているソフトウェアの旧バージョンを使用していますが、どうしたらよいですか?
このセキュリティ情報に記載されている影響を受けるソフトウェアのテストを行い、この脆弱性による影響を評価しました。そのほかのバージョンについてはサポートライフサイクルが終了しています。ご使用中の製品およびバージョンのサポートライフサイクルを確認するためには、マイクロソフトサポートライフサイクルの Web サイトをご覧ください。

今後の脆弱性の影響を受ける可能性を防ぐため、旧バージョンのソフトウェアを使用しているお客様は、サポート対象のバージョンに移行することを強く推奨します。Windows 製品のサポートライフサイクルに関する詳細情報は、マイクロソフトサポートライフサイクルをご覧ください。これらのオペレーティングシステムのサポート対象サービスパックに関する情報は、こちらをご覧ください。

旧バージョンのソフトウェアに関するカスタムサポートが必要なお客様は、担当営業、またはマイクロソフトアカウントチームの担当者、担当テクニカルアカウントマネージャ (TAM)、またはカスタムサポートオプションのマイクロソフトパートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター（営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253）までお問い合わせください。連絡先の情報は、Microsoft Worldwide Information Web サイトの Contact Information のプルダウンリストから、国を選択し、[Go] ボタンをクリックすると、連絡先の電話番号が表示されます。お問い合わせの際、現地プレミアサポート営業担当にご連絡ください。詳細情報は、Windows オペレーティングシステム FAQ をご覧ください。

Top of section

脆弱性の詳細

深刻度および脆弱性識別番号

影響を受けるソフトウェアごとの脆弱性の深刻度及び最も深刻な脆弱性の影響
影響を受けるソフトウェア	アドレスバーのなりすましの脆弱性 - CVE-2006-3892	スクリプトエラー処理のメモリの破損の脆弱性 - CVE-2007-3893	アドレスバーのなりすましの脆弱性 - CVE-2007-1091 および CVE-2007-3826	総合的な深刻度
Internet Explorer 5.01 および Internet Explorer 6 Service Pack 1
Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 5.01 Service Pack 4	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Internet Explorer 6
Microsoft Windows XP Service Pack 2 用の Internet Explorer 6	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 6	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 用の Internet Explorer 6	注意なりすまし	警告リモートでコードが実行	注意なりすまし	警告
Microsoft Windows Server 2003 x64 Edition および Microsoft Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 6	注意なりすまし	警告リモートでコートが実行される	注意なりすまし	警告
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems 用の Internet Explorer 6	注意なりすまし	警告リモートでコートが実行	注意なりすまし	警告
Internet Explorer 7
Microsoft Windows XP Service Pack 2 用の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Microsoft Windows Server 2003 x64 Edition および Microsoft Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Windows Vista の Windows Internet Explorer 7	警告なりすまし	緊急リモートで実行される	注意なりすまし	緊急
Windows Vista x64 Edition の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急

Top of section

アドレスバーのなりすましの脆弱性 - CVE-2007-3892

Internet Explorer になりすましの脆弱性が存在し、攻撃者によりブラウザウィンドウで偽装されたコンテンツが表示される可能性があります。信頼される UI のアドレスバーおよびそのほかの部分は攻撃者の Web サイトから離れてナビゲートされますが、ウィンドウのコンテンツには依然として攻撃者の Web ページが含まれます。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2007-3892 をご覧ください。

「アドレスバーのなりすましの脆弱性」の問題を緩和する要素 - CVE-2007-3892

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

•	Web ベースの攻撃のシナリオで、この脆弱性が悪用されるには、その悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。
•	制限付きサイトゾーンは、HTML 形式の電子メールメッセージの読み取りが行われる場合、アクティブスクリプトが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃を削減する手助けとなります。しかし、ユーザーが電子メールメッセージ内のリンクをクリックする場合、Web ベースの攻撃のシナリオによるこの問題の影響を依然として受ける可能性があります。
•	既定で、すべてのサポートされている Microsoft Outlook および Microsoft Outlook Express のバージョンは、HTML 形式の電子メールメッセージを制限付きサイトゾーンで開きます。制限付きサイトゾーンは、HTML 形式の電子メールメッセージの読み取りが行われる場合、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、これらの脆弱性を悪用する攻撃数を削減する手助けとなります。しかし、ユーザーが電子メール内のリンクをクリックする場合、Web ベースの攻撃のシナリオによるこの問題の影響を依然として受ける可能性があります。
•	既定で、Windows Server 2003 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。このモードにより、この脆弱性の影響が緩和されます。Internet Explorer のセキュリティ強化の構成に関する詳細情報については、この脆弱性に関する「よく寄せられる質問」のサブセクションをご覧ください。

Top of section

「アドレスバーのなりすましの脆弱性」の回避策 - CVE-2007-3892

この脆弱性の回避策は確認されていません。

Top of section

「アドレスバーのなりすましの脆弱性」のよく寄せられる質問 - CVE-2007-3892:

どのようなことが起こる可能性がありますか?
これは Internet Explorer に存在する偽装の脆弱性です。この脆弱性では、攻撃者によりブラウザウィンドウで偽装されたコンテンツが表示される可能性があります。たとえば、クリックすることにより、その Web ページと対話すると、コンテンツが更新され、アドレスバーにより指定された Web ページが表示されます。

何が原因で起こりますか?
攻撃者の Web サイトから離れて Internet Explorer のアドレスバーおよび別の信頼される UI にナビゲートされます。しかし、ユーザーが気がつかないうちに、攻撃者の Web サイトがブラウザウィンドウで残存している可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性で、攻撃者によりアドレスバーには、攻撃者が選択した URL を表示し、ブラウザウィンドウにはその URL と異なる Web サイトを表示する Web ページが作成される可能性があります。攻撃者はこの脆弱性を悪用し、正当なサイトになりすます悪質なページを作成する可能性があります。しかし、これと同じ Web サイトと対話することはできません。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?
この脆弱性が悪用され、悪意のある操作が行われるには、ユーザーがログ

影響を受けるソフトウェアごとの脆弱性の深刻度及び最も深刻な脆弱性の影響
影響を受けるソフトウェア	アドレスバーのなりすましの脆弱性 - CVE-2006-3892	スクリプトエラー処理のメモリの破損の脆弱性 - CVE-2007-3893	アドレスバーのなりすましの脆弱性 - CVE-2007-1091 および CVE-2007-3826	総合的な深刻度
Internet Explorer 5.01 および Internet Explorer 6 Service Pack 1
Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 5.01 Service Pack 4	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Internet Explorer 6
Microsoft Windows XP Service Pack 2 用の Internet Explorer 6	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 6	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 用の Internet Explorer 6	注意なりすまし	警告リモートでコードが実行	注意なりすまし	警告
Microsoft Windows Server 2003 x64 Edition および Microsoft Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 6	注意なりすまし	警告リモートでコートが実行される	注意なりすまし	警告
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems 用の Internet Explorer 6	注意なりすまし	警告リモートでコートが実行	注意なりすまし	警告
Internet Explorer 7
Microsoft Windows XP Service Pack 2 用の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Microsoft Windows Server 2003 x64 Edition および Microsoft Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems 用の Internet Explorer 7	注意なりすまし	警告リモートでコードが実行される	注意なりすまし	警告
Windows Vista の Windows Internet Explorer 7	警告なりすまし	緊急リモートで実行される	注意なりすまし	緊急
Windows Vista x64 Edition の Internet Explorer 7	警告なりすまし	緊急リモートでコードが実行される	注意なりすまし	緊急

マイクロソフト セキュリティ情報 MS07-057 - 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (939653)

概説

要点

影響を受けるソフトウェアおよび影響を受けないソフトウェア

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の詳細

深刻度および脆弱性識別番号

アドレス バーのなりすましの脆弱性 - CVE-2007-3892

「アドレス バーのなりすましの脆弱性」の問題を緩和する要素 - CVE-2007-3892

「アドレス バーのなりすましの脆弱性」の回避策 - CVE-2007-3892

「アドレス バーのなりすましの脆弱性」のよく寄せられる質問 - CVE-2007-3892:

マイクロソフトセキュリティ情報 MS07-057 - 緊急

アドレスバーのなりすましの脆弱性 - CVE-2007-3892

「アドレスバーのなりすましの脆弱性」の問題を緩和する要素 - CVE-2007-3892

「アドレスバーのなりすましの脆弱性」の回避策 - CVE-2007-3892

「アドレスバーのなりすましの脆弱性」のよく寄せられる質問 - CVE-2007-3892: