マイクロソフトセキュリティアドバイザリ (956391)

ActiveX の Kill Bit 更新プログラムのロールアップ

公開日: 2008年10月15日 | 最終更新日: 2009年6月18日

要訳

お知らせ内容	セキュリティ更新プログラムの公開
セキュリティ更新プログラム	サポート技術情報 956391
被害報告	他社製品のため被害報告は掲載していません。
回避策	あり
対応方法	サポート技術情報 956391 で提供しているセキュリティ更新プログラムをインストールしてください。

※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。

マイクロソフトはこのアドバイザリとともに、ActiveX の Kill Bit の新しいセットを公開しました。このアドバイザリの「よく寄せられる質問」にこれらの ActiveX コントロールのクラス識別子 (CLSID) を記載しています。

この更新プログラムは次のサードパーティのソフトウェアに Kill bit を設定します。

Microgaming Download Helper: Microgaming はアドバイザリおよびこれらの脆弱性を解決する更新プログラムを公開しました。詳細情報については、Microgaming のアドバイザリをご覧ください。この Kill bit は、ActiveX コントロールの提供元の要請により設定されます。サポートが必要なお客様は Microgaming (英語情報) までお問い合わせください。このアドバイザリの「よく寄せられる質問」に、この ActiveX コントロールのクラス識別子 (CLSID) を記載しています。
System Requirements Lab: Husdawg は、アドバイザリおよびこれらの脆弱性を解決する更新プログラムを公開しました。詳細情報については、Husdawg のアドバイザリをご覧ください。この Kill bit は、ActiveX コントロールの提供元の要請により設定されます。サポートが必要なお客様は Husdawg までお問い合わせください。このアドバイザリの「よく寄せられる質問」に、この ActiveX コントロールのクラス識別子 (CLSID) を記載しています。
PhotoStockPlus Uploader Tool: PhotoStockPlus は影響を受けるコントロールについてのアドバイザリを公開しました。詳細情報については、PhotoStockPlus のアドバイザリをご覧ください。この Kill bit は、ActiveX コントロールの提供元の要請により設定されます。サポートが必要なお客様は PhotoStockPlus (英語情報) までお問い合わせください。このアドバイザリの「よく寄せられる質問」に、この ActiveX コントロールのクラス識別子 (CLSID) を記載しています。

この更新プログラムは、以前マイクロソフトセキュリティ情報で解決された ActiveX コントロール用の Kill bit を設定します。これらの Kill bit は多層防御としてこの更新プログラムに設定されます。

Office Web Components に安全でない機能が含まれる (328130) MS02-044
Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (933103) : MS08-017
Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617) : MS08-041
GDI+ の脆弱性により、リモートでコードが実行される (954593) : MS08-052

この更新プログラムのインストールに関する詳細情報は、サポート技術情報 956391 をご覧ください。

概説

概要

参照情報	番号
マイクロソフトサポート技術情報	956391


関連するソフトウェア
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 および Windows XP Service Pack 3
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista および Windows Vista Service Pack 1
Windows Vista x64 Edition および Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for x64-based Systems
Windows Server 2008 for Itanium-based Systems

よく寄せられる質問

Windows Server 2008 Server Core インストールを使用しているユーザーは、この更新プログラムをインストールする必要がありますか?
Windows Server 2008 Server Core インストールを使用している場合、この更新プログラムが提供されますが、インストールする必要はありません。Server Core インストールオプションに関する詳細情報は、Server Core をご覧ください。Windows Server 2008 の特定のエディションでは、Server Core インストールオプションが使用できないことに注意してください。詳細は、Server Core インストールオプションをご覧ください。

この更新プログラムを適用すると、RSClientPrint ActiveX コントロールが機能しなくなります。どのようにこの問題を解決しますか?
この更新プログラムをインストールし、Microsoft Report Viewer 再配布可能パッケージを組み込んでいる Web サイトからレポートを印刷しているお客様は、サーバーを Microsoft Report Viewer 再配布可能パッケージの最新バージョンにアップグレードするまで印刷ができません。Microsoft Report Viewer 再配布可能パッケージ用の更新プログラムは MS08-052 で利用可能です。この更新プログラムをインストールし、Microsoft SharePoint テクノロジ用 Microsoft SQL Server 2005 Reporting Services アドインがインストールされている Microsoft SharePoint サイトからレポートを印刷しているお客様は、SharePoint サーバーを Microsoft SharePoint テクノロジ用 Microsoft SQL Server 2005 Reporting Services アドインの最新のバージョンにアップグレードするまで印刷ができません。このツールは、マイクロソフトダウンロードセンターからダウンロードすることができます。

この更新プログラムは ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (950760) に置き換わるものですか?
いいえ。この更新プログラムは自動更新のためであり、マイクロソフトセキュリティ情報 MS08-032 で説明した ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (950760) に置き換わるものではありません。自動更新は、お客様がこの更新プログラム (956391) をインストールしたかどうかに関わらず、MS08-032 の更新プログラムを提供します。しかし、この更新プログラム (956391) をインストールされるお客様は、MS08-032 で設定されるすべての Kill Bit による保護を行う目的で MS08-032 の更新プログラムをインストールする必要はありません。

マイクロソフトは以前の Kill Bit の更新プログラムをセキュリティ情報で公開しましたが、なぜ今回の ActiveX の Kill Bit 更新プログラムのロールアップはセキュリティアドバイザリで公開しているのですか?
新しい Kill Bit はマイクロソフトのソフトウェアに影響を及ぼさないため、または以前にマイクロソフトのソフトウェアの更新プログラムで設定されたため、マイクロソフトはこの ActiveX の Kill Bit 更新プログラムのロールアップをアドバイザリで公開しています。

なぜこのアドバイザリにはセキュリティの評価がないのですか?
この更新プログラムのロールアップにはサードパーティ製コントロール用、または以前セキュリティ更新プログラムで対応したコントロール用の Kill bit が含まれています。マイクロソフトは、影響を受けるサードパーティ製コントロールに関してセキュリティの評価を行っていません。

この更新プログラムのロールアップには、以前 ActiveX の Kill Bit 更新プログラムのロールアップで公開された Kill Bit が含まれていますか?
はい。この更新プログラムにはマイクロソフトセキュリティアドバイザリ 953839 で以前設定された Kill bit も含まれています。

この更新プログラムのロールアップには、以前 Internet Explorer のセキュリティ更新プログラムに同梱された Kill Bit が含まれていますか?
いいえ。この更新プログラムには以前 Internet Explorer のセキュリティ更新プログラムに同梱された Kill Bit は含まれていません。マイクロソフトは最新の Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールすることを推奨します。

Kill Bit とは何ですか?
Kill Bit は Microsoft Internet Explorer のセキュリティ機能で、Internet Explorer の HTML レンダリングエンジンが ActiveX コントロールを読み込まないようにすることができます。これは、レジストリで設定され、Kill Bit の設定と呼ばれています。Kill Bit を設定すると、完全にインストールされていても、コントロールは読み込まれません。Kill Bit を設定すると、影響を受けるコンポーネントがシステムに導入されたり、再導入されても、活性化せず無害の状態を確実に保ちます。

詳細情報は、サポート技術情報 322389「Internet Explorer で ActiveX コントロールの動作を停止する方法」をご覧ください。

ActiveX の Kill Bit のセキュリティ更新プログラムとは何ですか?
このセキュリティ更新プログラムには、このセキュリティ更新プログラムの中心である特定の ActiveX コントロールのクラス ID (CLSID) だけが含まれています。

この更新プログラムにバイナリファイルが含まれていないのは、どうしてですか?
この更新プログラムは、Internet Explorer でコントロールがインスタンス化されないようにするためのレジストリへの変更のみを行います。

影響を受けるコンポーネントをインストールしていない、または影響を受けるプラットフォームを使用していなくても、この更新プログラムをインストールする必要がありますか?
はい。この更新プログラムをインストールすると、影響を受けるコントロールが Internet Explorer で実行されることを阻止します。

このセキュリティ情報で説明している ActiveX コントロールを後日インストールした場合、この更新プログラムを再度適用する必要がありますか?
いいえ、この更新プログラムを再度適用する必要はありません。後日コントロールがインストールされたとしても、Kill Bit は Internet Explorer がコントロールを実行することを防ぎます。

この更新プログラムはどのように問題を修正しますか？
この更新プログラムはクラス識別子 (CLSID) のリストに Kill Bit を設定します。

次のクラス識別子は、影響を受ける ActiveX コントロールに Kill bit を設定するよう Microgaming (英語情報) により依頼されたリクエストに関連します。詳細は Microgaming により公開されたアドバイザリ (英語情報) をご覧ください。


クラス識別子
{AED98630-0251-4E83-917D-43A23D66D507}

次のクラス識別子は、影響を受ける ActiveX コントロールに Kill bit を設定するよう Husdawg (英語情報) により依頼されたリクエストに関連します。詳細は Husdawg のアドバイザリ (英語情報) をご覧ください。


クラス識別子
{67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}

次のクラス識別子は、影響を受ける ActiveX コントロールに Kill bit を設定するよう PhotoStockPlus (英語情報) により依頼されたリクエストに関連します。詳細は PhotoStockPlus のアドバイザリ (英語情報) をご覧ください。


クラス識別子
{E48BB416-C578-4A62-84C9-5E3389ABE5FC}

次のクラス識別子は、以前に対応されたマイクロソフトセキュリティ情報 MS02-044、MS08-017 および MS08-041 に関連しています。これらの Kill bit は多層防御として設定されます。

クラス識別子	関連するセキュリティ情報
{0002E500-0000-0000-C000-000000000046}	MS02-044
{0002E520-0000-0000-C000-000000000046}	MS02-044
{0002E510-0000-0000-C000-000000000046}	MS08-017
{0002E511-0000-0000-C000-000000000046}	MS08-017
{0002E530-0000-0000-C000-000000000046}	MS08-017
{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}	MS08-041
{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}	MS08-041
{F2175210-368C-11D0-AD81-00A0C90DC8D9}	MS08-041
{FA91DF8D-53AB-455D-AB20-F2F023E498D3}	MS08-041

推奨するアクション

回避策

回避策は、設定または構成の変更を示すもので、基本的な脆弱性を正すものではありませんが、更新プログラムの適用前に、既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうか「詳細」の欄で説明しています。

COM オブジェクトが Internet Explorer で実行されることを防ぐ
コントロールの Kill Bit をレジストリで設定することにより、Internet Explorer で COM オブジェクトのインスタンス化の試行を無効にできます。
警告: レジストリエディターを正しく使用しないと、深刻な問題が生じ、オペレーティングシステムの再インストールが必要となる場合があります。マイクロソフトは、レジストリエディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリエディターは、お客様各自の責任において使用してください。
コントロールが Internet Explorer で実行されないようにするためのステップの詳細は、サポート技術情報 240797 をご覧ください。このサポート技術情報に記載されているステップに従い、レジストリに互換性フラグの値を作成し、Internet Explorer で COM オブジェクトのインスタンスが作成されないようにしてください。
注: よく寄せられる質問の「この更新プログラムはどのように問題を修正しますか?」にクラス識別子および ActiveX オブジェクトが含まれている対応するファイルを記載しています。下記の {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} をこのセクションのクラス識別子と置き換えてください。
CLSID の Kill Bit を {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} の値で設定するには、以下のテキストをメモ帳の様なテキストエディターに貼り付けてください。次に、.reg ファイル名拡張子を使用してファイルを保存します。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}] "Compatibility Flags"=dword:00000400
この .reg ファイルをダブルクリックすると、個々のコンピュータに適用できます。グループポリシーを使用し、ドメインに適用することもできます。グループポリシーの詳細については、次のマイクロソフトの Web サイトを参照してください。
- Group Policy Collection (英語情報)
- What Is Group Policy Object Editor? (英語情報)
- Core Group Policy Tools and Settings (英語情報)

注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

回避策の影響: Internet Explorer でオブジェクトを使用しない限り、影響はありません。

その他の情報

リソース:

US マイクロソフトセキュリティアドバイザリ (956391)
http://www.microsoft.com/technet/security/advisory/956391.mspx
フィードバックをご提供いただく際は、マイクロソフトサポートオンラインのフォームへ入力をお願いします。
セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフトセキュリティ情報センターまでご連絡ください。マイクロソフトセキュリティ情報センター利用可能なサポートオプションに関する詳細はマイクロソフトサポートオンラインをご覧ください。
その他、製品に関するご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。
Microsoft TechNet セキュリティセンターでは、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

2008/10/15: このアドバイザリを公開しました。
2008/10/30: このアドバイザリを更新し、「よく寄せられる質問」に Kill Bit が設定されたコントロール用の更新プログラムが利用可能となったことを説明する質問および回答を追加しました。
2008/11/13: このアドバイザリを更新し、「Windows Server 2008 Server Core インストールが影響を受ける」という記載を削除しました。また、「よく寄せられる質問」のセクションを変更し、Windows Server 2008 Server Core インストールを使用している場合、この更新プログラムが提供されるものの、インストールは不要であることの説明を追加しました。
2009/06/18: このアドバイザリを更新し、「よく寄せられる質問」に質問および回答を追加し、自動更新のためであり、この更新プログラムはマイクロソフトセキュリティ情報 MS08-032 で説明した ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (950760) に置き換わるものではないことを説明しました。

マイクロソフト セキュリティ アドバイザリ (956391)

ActiveX の Kill Bit 更新プログラムのロールアップ

マイクロソフトセキュリティアドバイザリ (956391)