マイクロソフト セキュリティ アドバイザリ (980088)
Internet Explorer の脆弱性により、情報漏えいが起こる
公開日: | 最終更新日:
バージョン: 1.1
| お知らせ内容 | 脆弱性の公開 |
| 更新プログラム | 開発中/セキュリティ情報 MS10-035 |
| 被害報告 | なし |
| 回避策 | あり |
| 対応方法 | 主要な問題を解決する MS10-035 で提供しているセキュリティ更新プログラムをインストールしてください。 すべての問題を解決するセキュリティ更新プログラムの提供を予定しています。 本アドバイザリの更新時にメールで通知を受け取る。 |
※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。
マイクロソフトは Windows XP を実行しているお客様、または Internet Explorer の保護モードを無効にしているお客様についての一般に公開された Internet Explorer に存在する脆弱性の報告を現在調査中です。このアドバイザリでは、この問題に対する回避策および問題を緩和する要素とともに、影響を受ける Internet Explorer のバージョンに関する情報を提供しています。
これまでのマイクロソフトの調査では、ユーザーが保護モードで実行されていない Internet Explorer のバージョンを使用している場合、攻撃者はファイル名と場所が分かっているファイルにアクセスできる可能性があります。これらのバージョンには Microsoft Windows 2000 Service 4 上の Internet Explorer 5.01 Service Pack 4、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、サポートされているエディションの Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows Server 2003 Service Pack 2 上の Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 を含みます。保護モードはこの脆弱性が悪用されることを防ぎ、既定で Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 上の Internet Explorer のバージョンで実行されています。
情報が悪意のある Web サイトに公開される方法でローカル ファイルからコンテンツが不正確にレンダリングされるため、この脆弱性が存在します。
マイクロソフトは、主に新しいバージョンの Internet Explorer である Internet Explorer 7 および Internet Explorer 8 に存在する既知の攻撃経路の問題を解決するセキュリティ情報 MS10-035 をリリースしました。 しかしながら、全てのバージョンの Internet Explorer がこの問題の対象となる可能性が残っています。攻撃者がユーザーのシステム上の予測しやすい場所の中のコンテンツをキャッシュし、ユーザー名を確認することができた場合、攻撃者はユーザーがアクセスしたローカルシステム上のファイルを閲覧することができる場合があります。
現時点で、マイクロソフトはこの脆弱性を悪用しようとする攻撃を確認していません。マイクロソフトは引き続き脅威の環境を監視し、この状況に変化が生じた場合、このアドバイザリを更新する予定です。この調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース プロセス、またはお客様のニーズにより、定例外のセキュリティ更新プログラムを提供する場合があります。
マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) および Microsoft Security Response Alliance (MSRA) プログラムで積極的にパートナーと協力しています。さらに、積極的にパートナーと協力しながら、脅威全体を監視して、この脆弱性を悪用しようとする悪質なサイトに対して措置を講じます。
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウイルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。詳細情報は マイクロソフト セキュリティ At Home をご覧ください。
問題を緩和する要素:
- 保護モードはこの脆弱性が悪用されることを防ぎ、既定で Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 上の Internet Explorer のバージョンで実行されています。
- Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性の悪用を意図した Web ページが含まれている Web サイトをホストする可能性があります。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を受け入れる、またはホストしている Web サイトに特別に細工したコンテンツが含まれ、この脆弱性を悪用する可能性があります。しかし、すべての場合において、これらの Web サイトに強制的にユーザーを訪問させることはできません。それに代わり、攻撃者はユーザーを攻撃者の Web サイトに訪問させようとする可能性があります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせ、攻撃者の Web サイトへ誘導します。
- 攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。コンピューターでユーザー権限が低い設定のアカウントを持つ場合は、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
- 既定で、Windows Server 2003 および Windows Server 2008 上の Internet Explorer は「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行します。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」に該当します。
- 既定で、すべてのサポートされているバージョンの Microsoft Outlook、Microsoft Outlook Express および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りの際に、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃の緩和に役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃シナリオで悪用した脆弱性の影響を受ける可能性があります。
概説
概要
よく寄せられる質問
推奨するアクション
その他の情報
リソース:
- フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター 利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンライン をご覧ください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
- Microsoft TechNet セキュリティ センター では、製品に関するセキュリティ情報を提供しています。
免責:
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴:
- 2010/02/04: このアドバイザリを公開しました。
- 2010/02/11: 問題を緩和する要素において、保護モードに関する記述を明記しました。また、よく寄せられる質問、回避策において、保護モードに関する記述を追記しました。
- 2010/06/10: このアドバイザリを更新し、MS10-035 に関する情報を追加しました。また、「よく寄せられる質問」のセクションにキャッシュ ベクトル についての記載を追加しました。