セキュリティ情報

Microsoft セキュリティ情報 MS04-011 - 重大

Microsoft Windows 用セキュリティ更新プログラム (835732)

公開日: 2004 年 4 月 13 日 |更新日: 2004 年 8 月 10 日

バージョン: 2.1

発行日: 2004 年 4 月 13 日
更新日: 2004 年 8 月 10 日
バージョン: 2.1

まとめ

このドキュメントを読む必要があるユーザー: Microsoft® Windows® を使用しているお客様

脆弱性の影響: リモート でコードが実行される

最大重大度評価: 重大

推奨事項: お客様はすぐに更新プログラムを適用する必要があります。

セキュリティ更新プログラムの置き換え: このセキュリティ情報は、以前のいくつかのセキュリティ更新プログラムを置き換えます。 完全な一覧については、このセキュリティ情報のよく寄せられる質問 (FAQ) セクションを参照してください。

注意事項: Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 のセキュリティ更新プログラムには、前提条件として Windows NT Server 4.0 ターミナル サーバー エディション セキュリティ ロールアップ パッケージ (SRP) が必要です。 SRP をダウンロードするには、次の Web サイトを参照してください。 このセキュリティ情報に記載されているセキュリティ更新プログラムをインストールする前に、SRP をインストールする必要があります。 Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 を使用していない場合は、SRP をインストールする必要はありません。

Microsoft サポート技術情報の記事 835732 、お客様がこのセキュリティ更新プログラムのインストール時に発生する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。 詳細については、マイクロソフト サポート技術情報の記事 835732を参照してください。

テスト済みのソフトウェアとセキュリティ更新プログラムのダウンロード場所:

影響を受けるソフトウェア:

• Microsoft Windows NT® Workstation 4.0 Service Pack 6a - 更新プログラムをダウンロードする
• Microsoft Windows NT Server 4.0 Service Pack 6a - 更新プログラムをダウンロードする
• Microsoft Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 - 更新プログラムをダウンロードする
• Microsoft Windows 2000 Service Pack 2、Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4 - 更新プログラムをダウンロードする
• Microsoft Windows XP および Microsoft Windows XP Service Pack 1 - 更新プログラムをダウンロードする
• Microsoft Windows XP 64 ビット エディション Service Pack 1 - 更新プログラムをダウンロードする
• Microsoft Windows XP 64 ビット エディション バージョン 2003 - 更新プログラムをダウンロードする
• Microsoft Windows Server™ 2003 - 更新プログラムをダウンロードする
• Microsoft Windows Server 2003 64 ビット エディション - 更新プログラムをダウンロードする
• Microsoft NetMeeting
• Microsoft Windows 98、Microsoft Windows 98 Second Edition (Standard Edition)、Microsoft Windows Millennium Edition (ME) - これらのオペレーティング システムの詳細については、このセキュリティ情報の FAQ セクションを確認してください。

上記のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンでは、セキュリティ更新プログラムのサポートが含まれていないか、影響を受けなくなる可能性があります。 製品とバージョンのサポート ライフサイクルを確認するには、次の Microsoft サポート ライフサイクル Web サイトを参照してください。

一般情報

技術的な詳細

エグゼクティブサマリー：

Microsoft は、2004 年 6 月 15 日にこのセキュリティ情報を再発行し、Pan Chinese 言語用に更新された Windows NT 4.0 Workstation 更新プログラムの利用可能性についてお知らせしました。

この更新プログラムは、一部のお客様が元の更新プログラムで経験したインストールの問題を修正します。 この問題は、このセキュリティ情報で説明されているセキュリティの脆弱性とは無関係です。 ただし、この問題により、一部のお客様は更新プログラムのインストールが困難になっています。 このセキュリティ更新プログラムを以前に適用している場合は、将来のセキュリティ更新プログラムをインストールするときに潜在的な問題を回避するために、この更新プログラムをインストールする必要があります。 この問題は、更新プログラムの Pan Chinese 言語バージョンにのみ影響し、更新プログラムのバージョンのみが再リリースされます。 この更新プログラムの他の言語バージョンは影響を受けず、再リリースされません。

この更新プログラムは、新しく検出されたいくつかの脆弱性を解決します。 各脆弱性は、このセキュリティ情報の独自のセクションに記載されています。

これらの脆弱性の中で最も深刻な脆弱性を悪用した攻撃者は、プログラムのインストールを含め、影響を受けるシステムを完全に制御する可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

Microsoft では、お客様が更新プログラムを直ちに適用することをお勧めします。

重大度の評価と脆弱性識別子:

脆弱性識別子	脆弱性の影響	Windows 98、98 Standard Edition、ME	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
LSASS の脆弱性 - CAN-2003-0533	リモート コードの実行	なし	なし	重大	重大	低
LDAP の脆弱性 - CAN-2003-0663	サービス拒否	なし	なし	重要	なし	なし
PCT の脆弱性 - CAN-2003-0719	リモート コードの実行	なし	重大	Critical	重要	低
Winlogon の脆弱性 - CAN-2003-0806	リモート コードの実行	なし	中	中	中	なし
メタファイルの脆弱性 - CAN-2003-0906	リモート コードの実行	なし	重大	重大	重大	なし
ヘルプとサポート センターの脆弱性 - CAN-2003-0907	リモート コードの実行	なし	None	なし	重大	重大
ユーティリティ マネージャーの脆弱性 - CAN-2003-0908	特権の昇格	なし	なし	重要	なし	なし
Windows 管理の脆弱性 - CAN-2003-0909	特権の昇格	なし	None	なし	重要	なし
ローカル記述子テーブルの脆弱性 - CAN-2003-0910	特権の昇格	なし	重要	重要	なし	なし
H.323 の脆弱性* - CAN-2004-0117	リモート コードの実行	Not Critical	なし	重要	重要	重要
Virtual DOS マシンの脆弱性 - CAN-2004-0118	特権の昇格	なし	重要	重要	なし	なし
Negotiate SSP の脆弱性 - CAN-2004-0119	リモート コードの実行	なし	なし	重大	重大	重大
SSL の脆弱性 - CAN-2004-0120	サービス拒否	なし	なし	重要	重要	重要
ASN.1 "Double Free" の脆弱性 - CAN-2004-0123	リモート コードの実行	Not Critical	重大	重大	重大	重大
すべての脆弱性の重大度の集計		Not Critical	重大	重大	重大	重大

*注: H.323 脆弱性 - CAN-2004-0117 の重大度評価は、NetMeeting のスタンドアロン バージョンでは重要です。 この脆弱性に対処する更新バージョンの NetMeeting をダウンロードするには、次 の Web サイトを参照してください。 このバージョンの NetMeeting は、Windows 98、Windows 98 Second Edition、Windows Millennium Edition、および Windows NT 4.0 を実行しているすべてのシステムにインストールできます。 この脆弱性に対処する NetMeeting の更新バージョンはバージョン 3.01 (4.4.3399) です。

上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。

このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)

Microsoft がこのセキュリティ情報を再発行した理由
Microsoft は、2004 年 6 月 15 日にこのセキュリティ情報を再発行し、Pan Chinese 言語用に更新された Windows NT 4.0 Workstation 更新プログラムの利用可能性についてお知らせしました。

この更新プログラムは、一部のお客様が元の更新プログラムで経験したインストールの問題を修正します。 この問題は、このセキュリティ情報で説明されているセキュリティの脆弱性とは無関係です。 ただし、この問題により、一部のお客様は更新プログラムのインストールが困難になっています。 このセキュリティ更新プログラムを以前に適用している場合は、将来のセキュリティ更新プログラムをインストールするときに潜在的な問題を回避するために、この更新プログラムをインストールする必要があります。 この問題は、更新プログラムの Pan Chinese 言語バージョンにのみ影響し、更新プログラムのバージョンのみが再リリースされます。 この更新プログラムの他の言語バージョンは影響を受けず、再リリースされません。

この更新プログラムは、報告された複数のセキュリティ脆弱性に対処する理由
この更新プログラムには、これらの問題に対処するために必要な変更が関連ファイルに含まれているため、いくつかの脆弱性のサポートが含まれています。 ほぼ同じファイルを含む複数の更新プログラムをインストールする代わりに、この更新プログラムのみをインストールできます。

このリリースでは、どのような更新プログラムが置き換えられますか?
このセキュリティ更新プログラムは、以前のいくつかのセキュリティ情報を置き換えます。 影響を受けるセキュリティ情報 ID とオペレーティング システムを次の表に示します。

セキュリティ情報 ID	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Replaced	適用外	適用しない	適用外
MS00-027	置き換え前	Replaced	適用外	適用外
MS00-032	適用外	Replaced	適用外	適用外
MS00-070	置き換え前	Replaced	適用外	適用外
MS02-050	Replaced	置き換え前	置き換え前	適用外
MS02-051	適用外	Replaced	置き換え前	適用外
MS02-071	Replaced	Replaced	置き換え前	適用外
MS03-007	置き換え前	Replaced	置き換え前	適用外
MS03-013	Replaced	Replaced	置き換え前	適用外
MS03-025	適用外	Replaced	適用外	適用外
MS03-041	Replaced	置き換え前	置き換え前	置き換え前
MS03-045	Replaced	Replaced	置き換え前	置き換え前
MS04-007	Replaced	Replaced	Replaced	Replaced

この更新プログラムは累積的なセキュリティ更新プログラムですか、それともセキュリティ更新プログラムのロールアップですか?
なし。 累積的なセキュリティ更新プログラムには、通常、以前のすべての更新プログラムのサポートが含まれます。 この更新プログラムには、すべてのオペレーティング システムで以前のすべての更新プログラムのサポートが含まれているわけではありません。

セキュリティ更新プログラムのロールアップは、通常、以前のリリースを 1 つの更新プログラムに結合して、インストールを容易にし、ダウンロードを高速化するために使用されます。 セキュリティ更新プログラムのロールアップには、通常、新しい脆弱性に対処するための変更は含まれません。この更新は行います。

Windows 98、Windows 98 Second Edition、および Windows Millennium Edition の延長サポートは、これらのオペレーティング システムのセキュリティ更新プログラムのリリースにどのように影響しますか?
Microsoft は、重大なセキュリティの問題に対してのみセキュリティ更新プログラムをリリースします。 重要でないセキュリティの問題は、このサポート期間中は提供されません。 これらのオペレーティング システムのMicrosoft サポート ライフサイクル ポリシーの詳細については、次の Web サイトを参照してください。

重大度評価の詳細については、次 の Web サイトを参照してください。

Windows 98、Windows 98 Second Edition、または Windows Millennium Edition は、このセキュリティ情報で対処されている脆弱性の影響を受けますか?
いいえ。 これらの脆弱性は、Windows 98、Windows 98 Second Edition、または Windows Millennium Edition の重大度で重要な脆弱性はありません。

この更新プログラムには、機能に対するその他の変更が含まれていますか?
はい。 このセキュリティ情報の各脆弱性の詳細セクションに記載されている変更に加えて、この更新プログラムには次の機能の変更が含まれています。ファイル名拡張子 ".folder" で終わるファイルはディレクトリに関連付けなくなります。 この拡張子を持つファイルは、影響を受けるオペレーティング システムで引き続きサポートされます。 ただし、これらのファイルは、Windows エクスプローラーやその他のプログラムではディレクトリとして表示されなくなります。

Microsoft Baseline Security Analyzer (MB (メガバイト)SA) を使用して、この更新プログラムが必要かどうかを判断することはできますか?
はい。 MB (メガバイト)SA は、この更新プログラムが必要かどうかを判断します。 ただし、MB (メガバイト)SA は現在、NetMeeting のスタンドアロン バージョンを検出用にサポートしていません。 MB (メガバイト)SA は、Windows NT 4.0 システムにインストールされている場合、NetMeeting のスタンドアロン バージョンに必要な更新プログラムを提供しません。 H.323 脆弱性 (CAN-2004-0117) に対処する NetMeeting の更新されたスタンドアロン バージョンをダウンロードするには、次 の Web サイトを参照してください。 MB (メガバイト)SA は、Windows 2000、Windows XP、または Windows Server 2003 の一部として出荷された NetMeeting のバージョンに H.323 脆弱性 (CAN-2004-0117) の更新プログラムが必要かどうかを検出します。

H.323 の脆弱性 (CAN-2004-0117) の詳細については、このセキュリティ情報の脆弱性の詳細セクションを参照してください。 MB (メガバイト)SA の詳細については、MB (メガバイト)SA Web サイトを参照してください。 MB (メガバイト)SA 検出の制限事項の詳細については、Microsoft サポート技術情報の記事 306460 を参照してください。

このセキュリティ情報の最初のリリースから、この変更はどのように行われていますか?
このセキュリティ情報が 2004 年 4 月 13 日にリリースされたとき、このセキュリティ更新プログラムの MB (メガバイト)SA 検出は、このセキュリティ情報で前述したスタンドアロン バージョンの NetMeeting の検出サポートがないため、Windows NT 4.0 で無効になりました。 これは 2004 年 4 月 21 日に変更されました。 MB (メガバイト)SA は、この制限が存在する場合でも、Windows NT 4.0 にこのセキュリティ更新プログラムが必要かどうかを検出するようになりました。

システム管理サーバー (SMS) を使用して、この更新プログラムが必要かどうかを判断することはできますか?
はい。 SMS は、このセキュリティ更新プログラムを検出して展開するのに役立ちます。 SMS の詳細については、SMS Web サイトを参照してください。 SMS では検出に MB (メガバイト)SA が使用されるため、このセキュリティ情報に記載されているのと同じ制限が、NetMeeting のスタンドアロン バージョンに関連しています。

System Management Server (SMS) を使用して、NetMeeting のスタンドアロン バージョンが Windows NT 4.0 システムにインストールされているかどうかを確認できますか?
はい。 SMS は、更新されたスタンドアロン バージョンの NetMeeting が Windows NT 4.0 システムに必要かどうかを検出するのに役立ちます。 SMS は、ファイル "Conf.exe" の存在を検索できます。 バージョン 3.01 (4.4.3399) より前のすべてのバージョンを更新する必要があります。

脆弱性の詳細

LSASS の脆弱性 - CAN-2003-0533:

影響を 受けるシステムでリモートでコードを実行できるバッファー オーバーラン の脆弱性が LSASS に存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「LSASS の脆弱性」の問題を緩和する要素 - CAN-2003-0533:

• 匿名ユーザーがリモートで攻撃できるのは、Windows 2000 と Windows XP だけです。 Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 にはこの脆弱性が含まれていますが、この脆弱性を悪用できるのはローカル管理者だけです。
• Windows NT 4.0 は、この脆弱性の影響を受けません。
• ファイアウォールのベスト プラクティスと標準の既定のファイアウォール構成は、エンタープライズ境界外の攻撃からネットワークを保護するのに役立ちます。 ベスト プラクティスでは、インターネットに接続されているシステムで公開されるポートの数は最小限にすることをお勧めします。

「LSASS の脆弱性 」の回避策 - CAN-2003-0533:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• %systemroot%\debug\dcpromo.log という名前のファイルを作成し、ファイルを読み取り専用にします。 これを行うには、次のコマンドを入力します。

  echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

  注: これは、脆弱なコードが実行されないようにすることで、この脆弱性を完全に軽減するため、最も効果的な軽減手法です。 この回避策は、脆弱なポートに送信されたパケットに対して機能します。

• Windows XP および Windows Server 2003 に含まれているインターネット接続ファイアウォールなどの個人用ファイアウォールを使用します。

  Windows XP または Windows Server 2003 のインターネット接続ファイアウォール機能を使用してインターネット接続を保護する場合、既定では、未承諾の受信トラフィックがブロックされます。 Microsoft では、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。

  ネットワーク セットアップ ウィザードを使用してインターネット接続ファイアウォール機能を有効にするには、次の手順に従います。

  1. [スタート] ボタン、[コントロール パネル] の順にクリックします。
  2. 既定のカテゴリ ビューで、[ネットワークとインターネット接続] をクリックし、[セットアップ] をクリックするか、自宅または小規模なオフィス ネットワークを変更します。 ネットワーク セットアップ ウィザードで、システムがインターネットに直接接続されていることを示す構成を選択すると、インターネット接続ファイアウォール機能が有効になります。

  接続用にインターネット接続ファイアウォールを手動で構成するには、次の手順に従います。

  1. [スタート] ボタン、[コントロール パネル] の順にクリックします。
  2. 既定のカテゴリ ビューで、[ネットワークとインターネット接続] をクリックし、[ネットワーク接続] をクリックします。
  3. インターネット接続ファイアウォールを有効にする接続を右クリックし、[プロパティ] をクリックします。
  4. [詳細設定] タブをクリックします。
  5. [インターネット チェックからこのコンピューターへのアクセスを制限または禁止してコンピューターまたはネットワークを保護する] ボックスをクリックし、[OK] をクリックします。

  注: ファイアウォール経由で一部のプログラムとサービスの使用を有効にする場合は、[詳細設定] タブの [設定] をクリックし、必要なプログラム、プロトコル、およびサービスを選択します。

• ファイアウォールで次をブロックします。

  • UDP ポート 135、137、138、445、および TCP ポート 135、139、445、および 593
  • 1024 より大きいポートで送信請求されていないすべての受信トラフィック
  • その他の特別に構成された RPC ポート

  これらのポートは、RPC との接続を開始するために使用されます。 ファイアウォールでブロックすると、そのファイアウォールの背後にあるシステムがこの脆弱性を悪用するのを防ぐことができます。 また、リモート システムで他の特別に構成された RPC ポートをブロックしていることを確認します。 Microsoft では、他のポートを使用する可能性がある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。 RPC が使用するポートの詳細については、次 の Web サイトを参照してください。

• この機能をサポートするシステムで、高度な TCP/IP フィルタリングを有効にします。

  高度な TCP/IP フィルタリングを有効にして、要求されていないすべての受信トラフィックをブロックできます。 TCP/IP フィルター処理を構成する方法の詳細については、マイクロソフト サポート技術情報の記事 309798を参照してください。

• 影響を受けるシステムで IPSec を使用して、影響を受けるポートをブロックします。

  インターネット プロトコル セキュリティ (IPSec) を使用して、ネットワーク通信を保護します。 IPSec とフィルターの適用方法の詳細については、Microsoft サポート技術情報の記事 313190 および 813878を参照してください。

LSASS の脆弱性に関する FAQ - CAN-2003-0533:

この脆弱性の範囲は何ですか?
これはバッファー オーバーランの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムをリモートで完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?
LSASS サービス内のチェックされていないバッファー。

LSASS とは
ローカル セキュリティ機関サブシステム サービス (LSASS) は、ローカル セキュリティ、doメイン 認証、および Active Directory プロセスを管理するためのインターフェイスを提供します。 クライアントとサーバーの認証を処理します。 また、Active Directory ユーティリティをサポートするために使用される機能も含まれています。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?
Windows 2000 および Windows XP では、影響を受けるシステムに特別に細工されたメッセージを配信できる匿名ユーザーがこの脆弱性の悪用を試みる可能性があります。

攻撃者がこの脆弱性を悪用する方法
攻撃者は、特別に細工されたメッセージを作成し、影響を受けるシステムにメッセージを送信することにより、この脆弱性を悪用する可能性があります。これにより、影響を受けるシステムがコードを実行する可能性があります。

攻撃者は、別のベクターを介して影響を受けるコンポーネントにアクセスする可能性もあります。 たとえば、攻撃者は対話形式で、または脆弱なコンポーネント (ローカルまたはリモート) にパラメーターを渡す別のプログラムを使用して、システムにログオンする可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
Windows 2000 と Windows XP は、主にこの脆弱性の危険にさらされます。

Windows Server 2003 および Windows XP 64 ビット エディション バージョン 2003 では、管理者がこの脆弱性を悪用するために影響を受けるシステムにローカルでログオンする必要がある追加の保護が提供されます。

更新プログラムは何を行いますか?
この更新プログラムは、LSASS が割り当てられたバッファーにメッセージを渡す前にメッセージの長さを検証する方法を変更することで、この脆弱性を排除します。

この更新プログラムでは、これらのオペレーティング システムには脆弱なインターフェイスが必要ないため、Windows 2000 Professional および Windows XP から脆弱なコードも削除されます。 これは、このサービスで将来発生する可能性のある脆弱性から保護するのに役立ちます。

LDAP の脆弱性 - CAN-2003-0663:

サービス拒否の脆弱性が存在し、攻撃者が特別に細工された LDAP メッセージを Windows 2000 doメイン コントローラーに送信する可能性があります。 攻撃者は、Active Directory でユーザーの認証を担当するサービスにメイン応答を停止させる可能性があります。

LDAP の脆弱性の軽減要因 - CAN-2003-0663:

• この脆弱性を悪用するには、攻撃者が特別に細工された LDAP メッセージを doメイン コントローラーに送信する必要があります。 LDAP ポートがファイアウォールによってブロックされていない場合、攻撃者はこの脆弱性を悪用するために追加の特権を必要としません。
• この脆弱性は、Windows 2000 Server doメイン コントローラーにのみ影響します。Windows Server 2003 メイン コントローラーは影響を受けません。
• Windows NT 4.0 および Windows XP は、この脆弱性の影響を受けません。
• 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムは、60 秒のカウントダウン後に自動的に再起動するという警告を表示する可能性があります。 この 60 秒のカウントダウンの最後に、影響を受けるシステムが自動的に再起動します。 再起動後、影響を受けるシステムは通常の機能に復元されます。 ただし、更新プログラムが適用されない限り、影響を受けるシステムは新しいサービス拒否攻撃の影響を受ける可能性があります。
• ファイアウォールのベスト プラクティスと標準の既定のファイアウォール構成は、エンタープライズ境界外からの攻撃からネットワークを保護するのに役立ちます。 ベスト プラクティスでは、インターネットに接続されているシステムで公開されるポートの数は最小限にすることをお勧めします。

「LDAP の脆弱性」の回避策 - CAN-2003-0663:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• ファイアウォールで LDAP TCP ポート 389、636、3268、3269 をブロックします。

  これらのポートは、Windows 2000 doメイン コントローラーとの LDAP 接続を開始するために使用されます。 ファイアウォールでブロックすると、そのファイアウォールの背後にあるシステムが、エンタープライズ境界の外部から発生するこの脆弱性を悪用することを防ぐことができます。 この脆弱性を悪用するために他のポートが使用される可能性はありますが、一覧に示されているポートは最も一般的な攻撃ベクトルです。 Microsoft では、他のポートを使用する可能性がある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。

  回避策の影響: Active Directory はメインこれらのポートがブロックされているネットワーク接続を介して認証を行えません。

LDAP の脆弱性に関する FAQ - CAN-2003-0663:

この脆弱性の範囲は何ですか?

これはサービス拒否の脆弱性です。 攻撃者がこの脆弱性を悪用すると、サーバーが自動的に再起動し、その間にサーバーが認証要求に応答するのを停止する可能性があります。 この脆弱性は、doメイン コントローラーの役割を果たす Windows 2000 サーバー システムに存在します。 他の Windows 2000 システムに対する唯一の影響は、クライアントが do にログオンできない可能性があるということですメインその場合メインコントローラーが応答を停止します。

この脆弱性の原因は何ですか?

ローカル セキュリティ機関サブシステム サービス (LSASS) によって特別に作成された LDAP メッセージの処理。

LDAP とは

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は業界標準のプロトコルであり、承認されたユーザーがメタディレクトリ内のデータに対してクエリを実行または変更できるようにします。 たとえば、Windows 2000 では、LDAP は Active Directory の データにアクセスするために使用される 1 つのプロトコルです。

特別に作成された LDAP メッセージの処理方法に何が問題がありますか?

攻撃者は、特別に細工された LDAP メッセージを LSASS サービスに送信し、応答を停止させる可能性があります。

LSASS とは

ローカル セキュリティ機関サブシステム サービス (LSASS) は、ローカル セキュリティ、doメイン 認証、および Active Directory プロセスを管理するためのインターフェイスを提供します。 クライアントとサーバーの認証を処理します。 また、Active Directory ユーティリティをサポートするために使用される機能も含まれています。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用すると、LSASS が応答を停止し、影響を受けるシステムが再起動する可能性があります。 影響を受けるシステムでは、60 秒のカウントダウン後に自動的に再起動するという警告が表示されることがあります。 この 60 秒のカウントダウン中、影響を受けるシステムとユーザーの本体でのローカル認証は実行メイン影響を受けるシステムでの認証は不可能です。 この 60 秒のカウントダウンの最後に、影響を受けるシステムが自動的に再起動します。 ユーザーが影響を受けるシステムで doメイン 認証を実行できない場合は、doメイン リソースにアクセスできない可能性があります。 再起動後、影響を受けるシステムは通常の機能に復元されます。 ただし、更新プログラムが適用されない限り、新しいサービス拒否攻撃の影響を受ける可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるシステムに特別に細工された LDAP メッセージを配信できる匿名ユーザーは、この脆弱性を悪用する可能性があります。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、1 つのフォレストまたは複数のフォレスト内の doメイン コントローラーに特別に細工された LDAP メッセージを送信することにより、この脆弱性を悪用する可能性があります。これにより、企業全体でサービス拒否メイン認証が実行される可能性があります。 これにより、LSASS が応答を停止し、影響を受けるシステムが再起動する可能性があります。 攻撃者は、この特別に細工された LDAP メッセージを送信するために、doメイン に有効なユーザー アカウントを持っている必要はありません。 この攻撃は、匿名アクセスを使用して実行できます。

どのシステムが主に脆弱性のリスクにさらされていますか?

Windows 2000 のみメインコントローラーは脆弱です。

Windows 2000 を実行しています。 更新する必要があるシステムは何ですか?

この脆弱性に対処するための更新プログラムは、Windows 2000 が実行メインコントローラーとして使用されるシステムにインストールする必要があります。 ただし、更新プログラムは、他の役割の Windows 2000 サーバーに安全にインストールできます。 この更新プログラムは、今後昇格される可能性のあるシステムメインコントローラーにインストールすることをお勧めします。

更新プログラムは何を行いますか?

この更新プログラムは、LSASS が特別に細工された LDAP メッセージを処理する方法を変更することで、この脆弱性を排除します。

PCT の脆弱性 - CAN-2003-0719:

Microsoft Secure Sockets Layer (SSL) ライブラリの一部であるプライベート通信トランスポート (PCT) プロトコルにバッファー オーバーランの脆弱性が存在します。 SSL が有効になっているシステムと、場合によっては Windows 2000 がメインコントローラーを実行するシステムのみが脆弱です。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「PCT の脆弱性」の問題を緩和する要素 - CAN-2003-0719:

• SSL を有効にしたシステムのみが影響を受け、通常はサーバー システムのみが影響を受けます。 影響を受けるシステムでは、SSL サポートは既定では有効になっていません。 ただし、SSL は、一般的に Web サーバーで、電子コマース プログラム、オンライン バンキング、およびセキュリティで保護された通信を必要とするその他のプログラムをサポートするために使用されます。
• Windows Server 2003 は、管理者が手動で PCT を有効にした場合 (SSL が有効になっている場合でも) この問題に対してのみ脆弱です。
• 状況によっては、ISA Server 2000 またはプロキシ サーバー 2.0 の Web 発行機能によって、この脆弱性の悪用の試行が正常にブロックされる可能性があります。 テストでは、ISA Server 2000 の Web 公開機能 (パケット フィルタリングが有効で、すべてのパケット フィルタリング オプションが選択されている場合) は、顕著な副作用なしでこの攻撃を正常にブロックできることを示しています。 プロキシ サーバー 2.0 も、この攻撃を正常にブロックします。 ただし、プロキシ サーバー 2.0 システムでセキュリティ更新プログラムが適用されるまで、この攻撃により Proxy Server 2.0 Web サービスの応答が停止し、システムを再起動する必要があります。
• ファイアウォールのベスト プラクティスと標準の既定のファイアウォール構成は、エンタープライズ境界外の攻撃からネットワークを保護するのに役立ちます。 ベスト プラクティスでは、インターネットに接続されているシステムで公開されるポートの数は最小限にすることをお勧めします。

「PCT の脆弱性」の回避策 - CAN-2003-0719:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• レジストリを使用して PCT サポートを無効にする

  この回避策については、Microsoft サポート技術情報の記事 187498に完全に記載されています。 この記事は以下にまとめられています。

  次の手順では、影響を受けるシステムが使用をネゴシエートできないようにする PCT 1.0 プロトコルを無効にする方法を示します。

  レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

  レジストリを編集する方法については、レジストリ エディター (Regedit.exe) の「キーと値の変更」ヘルプ トピック、または「レジストリの情報の追加と削除」および「レジストリ データの編集」ヘルプ トピックを参照Regedt32.exe。

  注: レジストリを編集する前にバックアップすることをお勧めします。

  1. [スタート] をクリックし、[実行] をクリックし、「regedt32」と入力して (引用符を付けずに)、[OK] をクリックします。

  2. レジストリ エディターで、次のレジストリ キーを探します。

     HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

  3. [編集] メニューの [値の追加] をクリックして、サーバー サブキーに "Enabled" という名前の新しいREG_DWORD値を作成します。

  4. [データ型] の一覧で [REG_DWORD] をクリックします。

  5. [値の名前] テキスト ボックスに「Enabled」と入力し (引用符を付けずに)、[OK] をクリックします。

     注: この値が既に存在する場合は、値をダブルクリックして現在の値を編集し、手順 6 に進みます。

  6. バイナリ エディターで、文字列 00000000 を入力して、新しいキーの値を 0 に設定します。

  7. [OK] をクリックし、システムを再起動します。

     注: PCT を有効にするには、有効なレジストリ キーの値を00000001に変更し、システムを再起動します。

     注: Windows XP RTM を使用している場合は、PCT を完全に無効にするには、2 つ目のレジストリ キーも作成する必要があります。 これは、それ以降のバージョンの Windows XP やその他の影響を受けるオペレーティング システムでは必要ありません。 前述の手順を使用して、"Client" という名前の 2 つ目のREG_DWORD値を作成します。 前に説明したのと同じ値を使用します。

PCT の脆弱性に関する FAQ - CAN-2003-0719:

この脆弱性の範囲は何ですか?

Microsoft Secure Sockets Layer (SSL) ライブラリの一部であるプライベート通信トランスポート (PCT) プロトコルにバッファー オーバーランの脆弱性が存在します。 SSL が有効になっているシステムと、場合によっては Windows 2000 がメインコントローラーを実行するシステムのみが脆弱です。

SSL を使用するすべてのプログラムが影響を受ける可能性があります。 SSL は通常、HTTPS とポート 443 を使用してインターネット インフォメーション サービスに関連付けられていますが、影響を受けるプラットフォームで SSL を実装するサービスは脆弱である可能性があります。 これには、Microsoft インターネット インフォメーション サービス 4.0、Microsoft インターネット インフォメーション サービス 5.0、Microsoft インターネット インフォメーション サービスが含まれますが、これに限定されません5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、Microsoft Exchange Server 2003、Microsoft Analysis Services 2000 (SQL Server 2000 に付属)、および PCT を使用するサードパーティ 製プログラム。 SQL Server 2000 は PCT 接続を特にブロックするため、脆弱ではありません。

Windows Server 2003 および インターネット インフォメーション サービス 6.0 は、管理者が手動で PCT を有効にした場合 (SSL が有効になっている場合でも) この問題に対してのみ脆弱です。

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

メッセージ入力をチェックするために SSL ライブラリによって使用されるプロセス。

SSL ライブラリとは

Microsoft Secure Sockets Layer (SSL) ライブラリには、さまざまなセキュリティで保護された通信プロトコルのサポートが含まれています。 これには、トランスポート層セキュリティ 1.0 (TLS 1.0)、Secure Sockets Layer 3.0 (SSL 3.0)、古くて使用頻度の低い Secure Sockets Layer 2.0 (SSL 2.0)、プライベート通信テクノロジ 1.0 (PCT 1.0) プロトコルが含まれます。

これらのプロトコルは、サーバーとクライアント システムの間に暗号化された接続を提供します。 SSL は、インターネットなどのパブリック ネットワーク経由で送信される情報を保護するのに役立ちます。 SSL のサポートには、サーバーにインストールする必要がある SSL 証明書が必要です。 SSL の詳細については、マイクロソフト サポート技術情報の記事 245152を参照してください。

PCT とは

プライベート コミュニケーション テクノロジ (PCT) は、インターネット上の暗号化された通信のために Microsoft と Visa International によって開発されたプロトコルです。 SSL 2.0 に代わるものとして開発されました。 SSL に似ています。 メッセージ形式は、サーバーが SSL をサポートするクライアントと PCT をサポートするクライアントとやり取りできるほど似ています。

PCT は、SSL 3.0 に置き換えられた以前のプロトコルであり、一般的には使用されなくなりました。 Microsoft Secure Sockets Layer (SSL) ライブラリは、下位互換性のためにのみ PCT をサポートしています。 最新のプログラムとサーバーのほとんどは SSL 3.0 を使用しており、PCT は不要になりました。 詳細については、MSDN ライブラリ Web サイトを参照してください。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるシステム上の SSL 対応サービスに特別に細工された TCP メッセージを配信できる匿名の攻撃者は、この脆弱性を悪用しようとする可能性があります。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、SSL 対応サービスを介して影響を受けるシステムと通信し、特別に細工された TCP メッセージを送信することにより、この脆弱性を悪用する可能性があります。 このようなメッセージを受信すると、脆弱なシステム上の影響を受けるサービスが、コードを実行できるように失敗する可能性があります。

攻撃者は、別のベクターを介して影響を受けるコンポーネントにアクセスする可能性もあります。 たとえば、攻撃者は対話形式で、または脆弱なコンポーネント (ローカルまたはリモート) にパラメーターを渡す別のプログラムを使用して、システムにログオンする可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

SSL を使用するすべてのプログラムが影響を受ける可能性があります。 SSL は通常、HTTPS とポート 443 を使用してインターネット インフォメーション サービスに関連付けられていますが、影響を受けるプラットフォームで SSL を実装するサービスは脆弱である可能性があります。 これには、インターネット インフォメーション サービス 4.0、インターネット インフォメーション サービス 5.0、インターネット インフォメーション サービス 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000 (SQL Server 2000 に付属)、および使用するサードパーティ 製プログラムが含まれますが、これらに限定されません。Pct。 SQL Server 2000 は PCT 接続を特にブロックするため、脆弱ではありません。

Windows Server 2003 および インターネット インフォメーション サービス 6.0 は、管理者が手動で PCT を有効にした場合 (SSL が有効になっている場合でも) この問題に対してのみ脆弱です。

Enterprise Root 証明機関がインストールされている Active Directory doメイン も、この脆弱性の影響を受けます。Windows 2000 はメインコントローラーが SSL 接続を自動的にリッスンするためです。

Windows Server 2003 の影響

Windows Server 2003 が PCT を実装する方法には、他のプラットフォームで見つかったのと同じバッファー オーバーランが含まれています。 ただし、PCT は既定で無効になっています。 レジストリ キーを使用して PCT プロトコルが有効になっている場合、Windows Server 2003 はこの問題に対して脆弱である可能性があります。 そのため、Microsoft は、PCT を無効のままにしたままバッファー オーバーランを修正する Windows Server 2003 のセキュリティ更新プログラムをリリースしています。

更新プログラムは何を行いますか?

この更新プログラムは、PCT 実装が渡された情報を検証する方法を変更し、PCT プロトコルも無効にすることで、この脆弱性を排除します。

この更新プログラムは動作の変更を導入しますか?

はい。 この更新プログラムは PCT の脆弱性に対処しますが、このプロトコルは使用されなくなり、SSL 3.0 に置き換えられたため、PCT も無効になります。 この動作は、Windows Server 2003 の既定の設定と一致します。 管理者が PCT の使用を必要とする場合は、このセキュリティ情報の「回避策」セクションで説明されているレジストリ キーを使用して有効にすることができます。

Winlogon の脆弱性 - CAN-2003-0806:

Windows ログオン プロセス (Winlogon) にバッファー オーバーランの脆弱性が存在します。 割り当てられたバッファーに値を挿入する前に、ログオン プロセス中に使用される値のサイズはチェックされません。 結果として生じるオーバーランにより、攻撃者は影響を受けるシステムでコードをリモートで実行する可能性があります。 doメイン のメンバーではないシステムは、この脆弱性の影響を受けません。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「Winlogon の脆弱性」の問題を緩和する要素 - CAN-2003-0806:

• この脆弱性の影響を受けるのは、doメイン のメンバーである Windows NT 4.0、Windows 2000、および Windows XP システムのみです。 Windows Server 2003 は、この脆弱性の影響を受けません。
• 攻撃者はこの脆弱性を悪用するために、doメイン 内のユーザー オブジェクトを変更するアクセス許可を必要とします。 通常、このアクセス許可を持つのは、管理istrators または Account Operators グループのメンバーだけです。 ただし、このアクセス許可は、doメイン 内の他のユーザー アカウントに委任されている可能性があります。
• Doメイン では、通常、ユーザー オブジェクトに対する変更の監査がサポートされます。 これらの監査レコードを確認して、この脆弱性の悪用を試みるために他のユーザー アカウントを悪意を持って変更した可能性のあるユーザー アカウントを特定できます。

「Winlogon の脆弱性 」の回避策 - CAN-2003-0806:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• アカウントの変更アクセス許可を持つユーザーの数を減らします。

  この脆弱性を悪用するには、攻撃者は doメイン 内のユーザー オブジェクトを変更する能力を必要とします。 組織によっては、ユーザー アカウントを 管理istrator または Account Operators グループに不必要に追加します。 たとえば、ヘルプデスク担当者がユーザー パスワードをリセットする機能のみを必要とする場合、管理者は、担当者をアカウント オペレーター グループに追加せずに、そのアクセス許可を直接委任する必要があります。 管理グループ内のユーザー アカウントの数を減らすことは、既知の攻撃ベクトルをブロックするのに役立ちます。 信頼できる従業員のみが管理グループのメンバーである必要があります。 doメイン のベスト プラクティスの詳細については、次の Web サイトを参照してください。

「Winlogon の脆弱性」の FAQ - CAN-2003-0806:

この脆弱性の範囲は何ですか?

これはバッファー オーバーランの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

Winlogon は do から値を読み取りますがメイン割り当てられたバッファーに挿入する前に、この値のサイズをチェックしません。

winlogon とは

Windows ログオン プロセス (Winlogon) は、対話型ログオンのサポートを提供する Windows オペレーティング システムのコンポーネントです。 Winlogon.exeは、Windows でのセキュリティ関連のユーザー操作を管理するプロセスです。 ログオン要求とログオフ要求、システムのロックまたはロック解除、パスワードの変更、その他の要求を処理します。 ログオン プロセス中に doメイン からデータを読み取り、このデータを使用してユーザーの環境を構成します。 Winlogon の詳細については、MSDN ライブラリ Web サイトを参照してください。

何ですかメイン?

doメインを使用して、プリンター、ファイル共有の場所、個人情報など、ほぼすべてのネットワーク オブジェクトに関する情報を格納できます。 Windows 2000 Server または Windows Server 2003 を使用した doメイン の作成の詳細については、次の Web サイトを参照してください。

この脆弱性により、攻撃者は何を実行できるでしょうか。

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

誰がこの脆弱性を悪用する可能性がありますか?

攻撃者はこの脆弱性を悪用するために、doメイン 内のユーザー オブジェクトを変更するアクセス許可を必要とします。 通常、このアクセス許可を持つのは、管理istrators または Account Operators グループのメンバーだけです。 ただし、このアクセス許可は、doメイン 内の他のユーザー アカウントに委任されている可能性があります。 このアクセス許可を持たないユーザー アカウントまたは匿名ユーザーは、この脆弱性を悪用できませんでした。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、doメイン に格納されている値を特別に変更して、悪意のあるデータを含める可能性があります。 この値がログオン プロセス中に Winlogon のチェックされていないバッファーに渡されると、Winlogon によって悪意のあるコードが実行される可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

この脆弱性の影響を受けるのは、doメイン のメンバーである Windows NT 4.0、Windows 2000、および Windows XP システムのみです。

更新プログラムは何を行いますか?

この更新プログラムは、Winlogon プロセスが割り当てられたバッファーに渡す前に値の長さを検証する方法を変更することで、この脆弱性を排除します。

メタファイルの脆弱性 - CAN-2003-0906:

影響を受けるシステムでリモートでコードを実行できる可能性がある Windows メタファイル (WMF) および拡張メタファイル (EMF) イメージ形式のレンダリングに、バッファー オーバーランの脆弱性が存在します。 影響を受けるシステムで WMF または EMF イメージをレンダリングするプログラムは、この攻撃に対して脆弱になる可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「メタファイルの脆弱性」の問題を緩和する要素 - CAN-2003-0906:

• この脆弱性は、特別に細工されたファイルを開くか、特別に細工されたイメージを含むディレクトリを表示するようにユーザーを説得した攻撃者によってのみ悪用される可能性があります。 攻撃者が悪意のあるファイルをユーザーに強制的に開く方法はありません。
• Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする必要があります。 攻撃者は、ユーザーに悪意のある Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は Web サイトにアクセスするようにユーザーを説得する必要があります。通常は、攻撃者のサイトに移動するリンクをクリックしてもらう必要があります。
• 攻撃者がこの脆弱性を悪用した場合、ユーザーと同じ特権を取得する可能性があります。 システムの特権が少ないほどアカウントが構成されているユーザーは、管理特権を使用して操作するユーザーよりもリスクが低くなります。
• Windows Server 2003 は、この脆弱性の影響を受けません。

「メタファイルの脆弱性」の回避策 - CAN-2003-0906:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• Outlook 2002 以降または Outlook Express 6 SP1 以降を使用している場合は、テキスト形式で電子メール メッセージを読み取り、HTML 電子メール攻撃ベクトルから身を守ります。

  Office XP Service Pack 1 以降を適用した Microsoft Outlook 2002 ユーザーと、インターネット エクスプローラー 6 Service Pack 1 を適用した Microsoft Outlook Express 6 ユーザーは、この設定を有効にして、デジタル署名されていない電子メール メッセージまたは暗号化されていない電子メール メッセージをすべてプレーン テキストでのみ表示できます。

  デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージは、設定の影響を受けず、元の形式で読み取ることができます。 Outlook 2002 でこの設定を有効にする方法の詳細については、マイクロソフト サポート技術情報の記事 307594を参照してください。

  Outlook Express 6 のこの設定の詳細については、マイクロソフト サポート技術情報の記事 291387を参照してください。

  回避策の影響: プレーンテキスト形式で表示される電子メール メッセージには、画像、特殊なフォント、アニメーション、またはその他のリッチ コンテンツは含まれません。 さらに:

  • 変更がプレビュー ウィンドウに適用され、メッセージが開きます。
  • 画像は添付ファイルになるため、失われません。
  • メッセージはストア内のリッチ テキスト形式または HTML 形式のままであるため、オブジェクト モデル (カスタム コード ソリューション) が予期せず動作する可能性があります。

メタファイルの脆弱性に関する FAQ - CAN-2003-0906:

この脆弱性の範囲は何ですか?

これはバッファー オーバーランの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

Windows メタファイル (WMF) および拡張メタファイル (EMF) イメージ形式のレンダリングにおけるチェックされていないバッファー。

Windows メタファイル (WMF) および拡張メタファイル (EMF) イメージ形式とは

WMF イメージは、ベクトル情報とビットマップ情報の両方を含むことができる 16 ビットメタファイル形式です。 Windows オペレーティング システム用に最適化されています。

EMF イメージは、ベクター情報とビットマップ情報の両方を含むことができる 32 ビット形式です。 この形式は、Windows メタファイル形式よりも改善され、拡張機能が含まれています。

イメージの種類と形式の詳細については、マイクロソフト サポート技術情報の記事 320314を参照してください。 これらのファイル形式に関する追加情報は、MSDN ライブラリ Web サイトでも入手できます。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

攻撃者がこの脆弱性を悪用する方法

影響を受ける画像の種類をレンダリングするプログラムは、この攻撃に対して脆弱である可能性があります。 次に例をいくつか示します。

• 攻撃者は、インターネット エクスプローラー 6 を介してこの脆弱性を悪用するように設計された悪意のある Web サイトをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。
• 攻撃者は、特別に細工された画像が添付された HTML 電子メール メッセージを作成する可能性もあります。 特別に細工された画像は、Outlook 2002 または Outlook Express 6 を通じてこの脆弱性を悪用するように設計されている可能性があります。 攻撃者は、HTML 電子メール メッセージを表示するようにユーザーを説得する可能性があります。
• 攻撃者は、特別に細工された画像を Office ドキュメントに埋め込み、ユーザーにドキュメントを表示するよう説得する可能性があります。
• 攻撃者は、特別に細工されたイメージをローカル ファイル システムまたはネットワーク共有に追加し、Windows XP で Windows エクスプローラーを使用してディレクトリをプレビューするようにユーザーを説得する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

この脆弱性は、特別に細工されたファイルを開くか、特別に細工された画像を含むディレクトリを表示するようにユーザーを説得した攻撃者によって、影響を受けるシステムでのみ悪用される可能性があります。 攻撃者が悪意のあるファイルをユーザーに強制的に開く方法はありません。

Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする必要があります。 攻撃者は、ユーザーに悪意のある Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は Web サイトにアクセスするようにユーザーを説得する必要があります。通常は、攻撃者のサイトに移動するリンクをクリックしてもらう必要があります。

更新プログラムは何を行いますか?

この更新プログラムは、影響を受けるイメージの種類を Windows が検証する方法を変更することで、この脆弱性を排除します。

ヘルプとサポート センターの脆弱性 - CAN-2003-0907:

HCP URL 検証を処理する方法が原因で、ヘルプおよびサポート センターにリモートでコードが実行される脆弱性が存在します。 攻撃者は、ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある電子メール メッセージを表示したりした場合に、リモートでコードが実行される可能性がある悪意のある HCP URL を構築することで、この脆弱性を悪用する可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「ヘルプとサポート センターの脆弱性」の問題を緩和する要素 - CAN-2003-0907:

• Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする必要があります。 攻撃者は、ユーザーに悪意のある Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は Web サイトにアクセスするようにユーザーを説得する必要があります。通常は、攻撃者のサイトに移動するリンクをクリックしてもらう必要があります。

• 既定では、Outlook Express 6、Outlook 2002、および Outlook 2003 は、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 さらに、Outlook 98 と Outlook 2000 は、Outlook 電子メール セキュリティ更新プログラムがインストールされている場合、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 制限付きサイト ゾーンは、この脆弱性の悪用を試みる可能性のある攻撃を減らすのに役立ちます。

  HTML 電子メール ベクターからの攻撃のリスクは、次のすべての条件を満たしている場合に大幅に軽減できます。

  • Microsoft セキュリティ情報 MS03-040 以降のインターネット エクスプローラー用の累積的なセキュリティ更新プログラムに含まれている更新プログラムを適用します。
  • インターネット エクスプローラー 6 以降を使用します。
  • Microsoft Outlook 電子メール セキュリティ更新プログラムを使用するか、Microsoft Outlook Express 6 以降を使用するか、既定の構成で Microsoft Outlook 2000 Service Pack 2 以降を使用します。

• 攻撃者がこの脆弱性を悪用した場合、ユーザーと同じ特権を取得する可能性があります。 システムの特権が少ないほどアカウントが構成されているユーザーは、管理特権を使用して操作するユーザーよりもリスクが低くなります。

• Windows NT 4.0 および Windows 2000 は、この脆弱性の影響を受けません。

「ヘルプとサポート センターの脆弱性」の回避策 - CAN-2003-0907:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• HCP プロトコルの登録を解除します。

  攻撃を防ぐには、レジストリから次のキーを削除して HCP プロトコルの登録を解除します: HKEY_CLAS Standard Edition S_ROOT\HCP。 そのためには、次の手順に従います。

  1. [スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックします。

  2. 「regedit」と入力し、[OK] をクリックします

     レジストリ エディター プログラムが起動します。

  3. HKEY_CLAS Standard Edition S_ROOT展開し、HCP キーを強調表示します。

  4. HCP キーを右クリックし、[削除] をクリックします。

  レジストリ エディターを誤って使用すると、Windows を再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

  回避策の影響: HCP プロトコルの登録を解除すると、hcp:// を使用するすべてのローカルの正当なヘルプ リンクが中断されます。 たとえば、コントロール パネル内のリンクが機能しなくなる可能性があります。

• Outlook 2000 SP1 以前を使用している場合は、Outlook 電子メール セキュリティ更新プログラムをインストールします。

  既定では、Outlook Express 6、Outlook 2002、および Outlook 2003 は、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 さらに、Outlook 98 と Outlook 2000 は、Outlook 電子メール セキュリティ更新プログラムがインストールされている場合、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。

  これらの製品のいずれかを使用するお客様は、ユーザーが電子メール メッセージ内の悪意のあるリンクをクリックしない限り、この脆弱性を悪用しようとする電子メールによる攻撃によるリスクが軽減される可能性があります。

• Outlook 2002 以降または Outlook Express 6 SP1 以降を使用している場合は、テキスト形式で電子メール メッセージを読み取り、HTML 電子メール攻撃ベクトルから身を守ります。

  Office XP Service Pack 1 以降を適用した Microsoft Outlook 2002 ユーザーと、インターネット エクスプローラー 6 Service Pack 1 を適用した Microsoft Outlook Express 6 ユーザーは、この設定を有効にして、デジタル署名されていない電子メール メッセージまたは暗号化されていない電子メール メッセージをすべてプレーン テキストでのみ表示できます。

  デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージは、設定の影響を受けず、元の形式で読み取ることができます。 Outlook 2002 でこの設定を有効にする方法の詳細については、マイクロソフト サポート技術情報の記事 307594を参照してください。

  Outlook Express 6 のこの設定の詳細については、マイクロソフト サポート技術情報の記事 291387を参照してください。

  回避策の影響: プレーンテキスト形式で表示される電子メール メッセージには、画像、特殊なフォント、アニメーション、またはその他のリッチ コンテンツは含まれません。 さらに:

  • 変更がプレビュー ウィンドウに適用され、メッセージが開きます。
  • 画像は添付ファイルになるため、失われません。
  • メッセージはストア内のリッチ テキスト形式または HTML 形式のままであるため、オブジェクト モデル (カスタム コード ソリューション) が予期せず動作する可能性があります。

ヘルプとサポート センターの脆弱性に関する FAQ - CAN-2003-0907:

この脆弱性の範囲は何ですか?

これは、リモートでコードが実行される脆弱性です。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 攻撃者は、プログラムのインストール、データの表示、データの変更、データの削除、完全な特権を持つ新しいアカウントの作成など、システム上で何らかのアクションを実行する可能性があります。

この脆弱性の原因は何ですか?

ヘルプおよびサポート センターがデータ入力を検証するために使用するプロセス。

ヘルプとサポートセンターとは

ヘルプおよびサポート センター (HSC) は、さまざまなトピックに関するヘルプを提供する Windows の機能です。 たとえば、HSC は、Windows の機能、ソフトウェア更新プログラムをダウンロードしてインストールする方法、特定のハードウェア デバイスが Windows と互換性があるかどうかを判断する方法、および Microsoft からヘルプを受ける方法についてユーザーに教えることができます。 ユーザーとプログラムは、"https://" ではなく URL リンクの "hcp://" プレフィックスを使用して、ヘルプおよびサポート センターへの URL リンクを使用できます。

HCP プロトコルとは

HTTP プロトコルで URL の実行リンクを使用して Web ブラウザーを開く方法と同様に、HCP プロトコルは URL リンクを実行してヘルプおよびサポート センター機能を開くことができます。

ヘルプとサポートセンターの問題

入力検証でエラーが発生しました。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

攻撃者がこの脆弱性を悪用する方法

この脆弱性を悪用するには、攻撃者が悪意のある Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する必要があります。 攻撃者は、特別に細工されたリンクを含む HTML 電子メール メッセージを作成し、ユーザーに HTML 電子メール メッセージを表示するよう誘導し、悪意のあるリンクをクリックする可能性もあります。 ユーザーがこのリンクをクリックすると、インターネット エクスプローラー ウィンドウが攻撃者が選択した HCP URL で開き、任意のコード実行を許可する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

Windows XP および Windows Server 2003 には、影響を受けるバージョンのヘルプおよびサポート センターが含まれています。 Windows NT 4.0 と Windows 2000 にはヘルプとサポート センターが含まれていないため、影響を受けません。

Windows Server 2003 でインターネット エクスプローラーを実行しています。 Windows Server 2003 はこの脆弱性を軽減しますか?

いいえ。 既定では、Windows Server 2003 のインターネット エクスプローラーは、インターネット エクスプローラーセキュリティ強化構成と呼ばれる制限付きモードで実行されます。 ただし、HCP プロトコルは、既定でヘルプおよびサポート センターにアクセスできます。 そのため、Windows Server 2003 は脆弱です。 インターネット エクスプローラーセキュリティ強化の構成の詳細については、次の Web サイトを参照してください。

更新プログラムは何を行いますか?

この更新プログラムは、ヘルプおよびサポート センターに渡されるデータの検証を変更することで、この脆弱性を排除します。

ユーティリティ マネージャーの脆弱性 - CAN-2003-0908:

ユーティリティ マネージャーがアプリケーションを起動する方法に特権昇格の脆弱性が存在します。 ログオン ユーザーは、ユーティリティ マネージャーにシステム特権を使用してアプリケーションを起動させ、システムを完全に制御する可能性があります。

「ユーティリティ マネージャーの脆弱性」の問題を緩和する要素 - CAN-2003-0908:

• この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を持っている必要があります。 この脆弱性は、匿名ユーザーによって悪用される可能性がありません。
• Windows NT 4.0、Windows XP、および Windows Server 2003 は、この脆弱性の影響を受けません。 Windows NT 4.0 にはユーティリティ マネージャーが実装されていません。
• Windows 2000 セキュリティ強化ガイドでは、ユーティリティ マネージャー サービスを無効にすることをお勧めします。 これらのガイドラインに準拠する環境では、この脆弱性によるリスクが軽減される可能性があります。

「ユーティリティ マネージャーの脆弱性」の回避策 - CAN-2003-0908:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• グループ ポリシーを使用して、この機能を必要としない影響を受けるすべてのシステムでユーティリティ マネージャーを無効にします。

  ユーティリティ マネージャーは攻撃ベクトルの可能性があるため、グループ ポリシーを使用して無効にします。 ユーティリティ マネージャーのプロセス名がUtilman.exe。 次のガイドでは、グループ ポリシーを使用して 、承認されたアプリケーションのみを実行するようにユーザーに要求する方法について説明します。

  注: Windows 2000 セキュリティ強化ガイドを確認することもできます。 このガイドには、ユーティリティ マネージャーを無効にする方法に関する情報が含まれています。

  回避策の影響:

  ユーティリティ マネージャーを使用すると、オペレーティング システムのアクセシビリティ機能の多くに簡単にアクセスできます。 このアクセスは、制限が削除されるまで使用できません。 アクセシビリティ機能の多くを手動で開始する方法については、この Web サイトを参照してください。

ユーティリティ マネージャーの脆弱性に関する FAQ - CAN-2003-0908:

この脆弱性の範囲は何ですか?

これは特権の昇格の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

ユーティリティ マネージャーがアプリケーションを起動するために使用するプロセス。 ユーティリティ マネージャーがシステム特権でアプリケーションを起動できる可能性があります。

ユーティリティ マネージャーとは

ユーティリティ マネージャーは、ユーザーが Microsoft 拡大鏡、ナレーター、スクリーン キーボードなどのアクセシビリティ プログラムの状態をチェックし、起動または停止できるようにするアクセシビリティ ユーティリティです。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

誰がこの脆弱性を悪用する可能性がありますか?

攻撃者はシステムにログオンできる必要があります。その後、ユーティリティ マネージャーを起動した後、ユーティリティ マネージャーに特別に細工されたメッセージを送信するプログラムを実行して、この脆弱性を悪用する必要があります。

攻撃者がこの脆弱性を悪用する方法

この脆弱性を悪用するには、まず Windows 2000 でユーティリティ マネージャーを起動し、その脆弱性を悪用する可能性のある特別に設計されたアプリケーションを実行する必要があります。 Window 2000 の既定の構成では、ユーティリティ マネージャーはインストールされていますが、実行されていません。 この脆弱性により、攻撃者は Windows 2000 システムを完全に制御できる可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

この脆弱性の影響を受けるのは Windows 2000 のみです。 Windows 2000 に基づくワークステーションとターミナル サーバーは、主に危険にさらされます。 サーバーが危険にさらされるのは、十分な管理資格情報を持たないユーザーに、サーバーにログオンしてプログラムを実行する機能が与えられている場合のみです。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。

Windows 2000 を使用していますが、ユーティリティ マネージャーやアクセシビリティ機能を使用していません。 私はまだ脆弱ですか?

はい。 既定では、ユーティリティ マネージャーがインストールされ、有効になっています。 ただし、ユーティリティ マネージャーは既定では実行されていません。

この脆弱性はインターネット経由で悪用される可能性がありますか?

いいえ。 攻撃者は、攻撃対象の特定のシステムにログオンできる必要があります。 攻撃者は、この脆弱性を使用してプログラムをリモートで読み込んで実行することはできません。

更新プログラムは何を行いますか?

この更新プログラムは、ユーティリティ マネージャーがアプリケーションを起動する方法を変更することにより、この脆弱性を排除します。

Windows 管理の脆弱性 - CAN-2003-0909

Windows XP でタスクを作成できる方法に特権昇格の脆弱性が存在します。 特別な条件下では、特権のないユーザーは、システムのアクセス許可を使用して実行できるタスクを作成できるため、システムを完全に制御できます。

「Windows 管理の脆弱性」の問題を緩和する要素 - CAN-2003-0909:

• この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を持っている必要があります。 この脆弱性は、匿名ユーザーによって悪用される可能性はありません。
• Windows NT 4.0、Windows 2000、および Windows Server 2003 は、この脆弱性の影響を受けません。

「Windows 管理の脆弱性」の回避策 - CAN-2003-0909:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

影響を受ける Windows 管理インターフェイス プロバイダーを削除します。

ローカル管理アクセス許可を持つ管理者は、影響を受ける Windows 管理インターフェイス (WMI) プロバイダーを削除できます。次のスクリプトを 、ファイル名拡張子が '.vbs' のテキスト ファイルに挿入して実行します。

影響を受ける WMI プロバイダーを削除するには:

set osvc = getobject("winmgmts:root\cimv2")set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")otrigger.delete_

更新プログラムをインストールすると、上記で参照されている影響を受ける WMI プロバイダーが自動的に再登録されます。 更新プログラムが適用された後、システムを一般的な機能に復元するために追加の手順を実行する必要はありません。

回避策の影響: イベント ベースのトリガーとして作成されたタスクは、このプロバイダーが登録されていない間は機能しません。 イベント ベースのトリガーの詳細については、次 の Web サイトを参照してください。

注: まれに、Windows XP がこの WMI プロバイダーを再登録する可能性があります。 たとえば、Windows XP で WMI リポジトリが破損していることが検出された場合、影響を受ける WMI プロバイダーの再登録を試みる可能性があります。

Windows 管理の脆弱性に関する FAQ - CAN-2003-0909:

この脆弱性の範囲は何ですか?

これは特権の昇格の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

特別な条件下では、Microsoft Windows XP の特権のないユーザーが、システムのアクセス許可を使用して実行できるタスクを作成できます。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

攻撃者がこの脆弱性を悪用する方法

この脆弱性を悪用するには、攻撃者がシステムにログオンし、タスクを作成できる必要があります。 攻撃者はこの脆弱性を悪用するために有効なログオン資格情報を持っている必要があるため、リモート システムは危険にさらされません。

どのシステムが主に脆弱性のリスクにさらされていますか?

この脆弱性の影響を受けるのは Windows XP のみです。

更新プログラムは何を行いますか?

この更新プログラムは、ユーザーが昇格されたレベルの特権でタスクを作成できないようにすることで、この脆弱性を排除します。

この更新プログラムには、その他の動作の変更が含まれていますか?

はい。 この更新プログラムには、以下に記載されている機能のいくつかの変更も含まれています。

• この更新の前に、ユーザーは、ユーザー名とパスワードを指定しなくても、Eventtriggers.exeコマンド ライン ツールを使用してイベント ベースのトリガーを作成する場合があります。 この更新プログラムがインストールされた後、ユーザーは有効なユーザー名とパスワードを指定して、Eventttrigers.exeを使用してイベント ベースのトリガーを作成する必要があります。 Eventtriggers.exeコマンド ライン オプションの詳細については、次 の Web サイトを参照してください。
• 以前は、管理者はタスク スケジューラ サービスを停止または無効にして、イベントベースのトリガーを作成できました。 これで、タスク スケジューラ サービスが実行されている必要があります。 タスク スケジューラの詳細については、次 の Web サイトを参照してください。
• この更新プログラムの一部として、1,000 トリガーの新しい制限も確立されています。 この制限を超える既存のイベント ベースのトリガーは、更新プログラムのインストール後も引き続き機能します。 ただし、追加のイベント ベースのトリガーを作成することはできません。
• 更新プログラムのインストール後に作成されるイベント ベースのトリガーに対するアクセス許可が強化されました。

ローカル記述子テーブルの脆弱性 - CAN-2003-0910

ローカル記述子テーブル (LDT) にエントリを作成するために使用されるプログラミング インターフェイスに特権昇格の脆弱性が存在します。 これらのエントリには、メモリのセグメントに関する情報が含まれています。 ローカルにログオンし、悪意のあるエントリを作成し、それによって保護されたメモリにアクセスする攻撃者が、システムを完全に制御する可能性があります。

「ローカル記述子テーブルの脆弱性」の問題を緩和する要素 - CAN-2003-0910:

• 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を持ち、ローカルでログオンできる必要があります。 リモートから悪用される可能性はありません。
• Windows XP および Windows Server 2003 は、この脆弱性の影響を受けません。

「ローカル記述子テーブルの脆弱性」の回避策 - CAN-2003-0910:

なし。

「ローカル記述子テーブルの脆弱性」の FAQ - CAN-2003-0910:

この脆弱性の範囲は何ですか?

これは特権の昇格の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

LDT にエントリを作成するために使用されるプログラミング インターフェイス。 これらのエントリには、メモリのセグメントに関する情報が含まれています。 攻撃者が悪意のあるエントリを作成して、保護されたカーネル メモリにアクセスする可能性があります。

ローカル記述子テーブルとは

ローカル記述子テーブル (LDT) には、記述子と呼ばれるエントリが含まれています。 これらの記述子には、メモリの特定のセグメントを定義する情報が含まれています。

LDT で記述子エントリを作成する方法に何が問題がありますか?

プログラミング・インターフェースは、プログラムが保護メモリーの領域を指す記述子項目を LDT に作成できないようにする必要があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 攻撃者は、プログラムのインストール、データの表示、データの変更、データの削除、完全な特権を持つ新しいアカウントの作成など、システム上で何らかのアクションを実行する可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

攻撃者はこの脆弱性を悪用するために、ローカルでシステムにログオンし、プログラムを実行できる必要があります。

攻撃者がこの脆弱性を悪用する方法

この脆弱性を悪用するには、まず攻撃者がシステムにログオンする必要があります。 攻撃者は、この脆弱性を悪用し、影響を受けるシステムを完全に制御できる特別に設計されたプログラムを実行する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

ワークステーションとターミナル サーバーは主に危険にさらされます。 サーバーは、十分な管理資格情報を持たないユーザーがログオンしてプログラムを実行できる場合にのみ危険にさらされます。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。

この脆弱性はインターネット経由で悪用される可能性がありますか?

いいえ。 攻撃者は、攻撃対象の特定のシステムにログオンできる必要があります。 攻撃者は、この脆弱性を使用してプログラムをリモートで読み込んで実行することはできません。

更新プログラムは何を行いますか?

この更新プログラムは、LDT で記述子エントリが作成される方法を変更することで、この脆弱性を排除します。

H.323 の脆弱性 - CAN-2004-0117

Microsoft H.323 プロトコル実装が不正な要求を処理する方法に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「H.323 の脆弱性」の軽減要因 - CAN-2004-0117:

• 最も一般的なシナリオでは、脆弱になるために NetMeeting (H.323 を使用) が実行されている必要があります。
• 最も一般的なシナリオでは、インターネット接続ファイアウォール (ICF) を使用し、H.323 ベースのアプリケーションを実行しないシステムは脆弱ではありません。
• スタンドアロン バージョンの NetMeeting が管理者によって手動でインストールされていない限り、Windows NT 4.0 はこの脆弱性の影響を受けません。

「H.323 の脆弱性 」 の回避策 - CAN-2004-0117:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• ファイアウォールでの受信ポートと送信ポートの両方で、TCP 1720 と TCP 1503 をブロックします。

  ファイアウォールのベスト プラクティスと標準の既定のファイアウォール構成は、エンタープライズ境界外の攻撃からネットワークを保護するのに役立ちます。 ベスト プラクティスでは、インターネットに接続されているシステムで公開されるポートの数は最小限にすることをお勧めします。 Microsoft では、他のポートを使用する可能性がある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。

  回避策の影響:

  受信および送信 TCP ポート 1503 および 1720 がブロックされている場合、ユーザーはインターネット ロケーター サービス (ILS) または他の NetMeeting クライアントに接続できません。

「H.323 の脆弱性 」の FAQ - CAN-2004-0117:

この脆弱性の範囲は何ですか?

これはバッファー オーバーランの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

Microsoft の H.323 実装でチェックされていないバッファー。

H.323 とは

H.323 は、インターネットなどの保証されたレベルのサービスを提供しないネットワークを介してマルチメディア用の PC、機器、サービスがどのように通信するかを指定する ITU 標準です。 H.323端末と機器は、リアルタイムのビデオ、音声、データ、またはこれらの要素の任意の組み合わせを運ぶことができます。 音声とビデオに H.323 を使用する製品では、異なるメーカーやモデルの電話を使用しているユーザーが電話を使用して通信できるのと同様に、ユーザーはインターネット経由で他のユーザーと接続して通信できます。

影響を受けるアプリケーションで H.323 プロトコルを使用するものは何ですか?

H.323 プロトコルは、多数の Microsoft アプリケーションおよびオペレーティング システム コンポーネントに実装されています。 この問題は、次の 1 つ以上のサービスまたはアプリケーションが実行されているシステムに影響を与える可能性があります。

• テレフォニー アプリケーション プログラミング インターフェイス (TAPI) ベースのアプリケーション
• Netmeeting
• インターネット接続ファイアウォール (ICF)
• インターネット接続の共有
• Microsoft ルーティングとリモート アクセス サービス

TAPI とは

Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) は、Windows オープン システム アーキテクチャの一部です。 TAPI を使用すると、開発者はテレフォニー アプリケーションを作成できます。 TAPIはオープンな業界標準であり、世界中のテレフォニーとコンピューティングコミュニティからの重要で継続的な意見で定義されています。 TAPI はハードウェアに依存しないため、互換性のあるアプリケーションはさまざまな PC およびテレフォニー ハードウェアで実行でき、さまざまなネットワーク サービスをサポートできます。 TAPI は H.323 プロトコルを実装します。 TAPI を使用するアプリケーションは、このセキュリティ情報に記載されている問題に対して脆弱である可能性があります。

TAPI ベースの H.323 アプリケーションは、影響を受けるいずれかのシステムに既定でインストールされていますか?

Microsoft 電話 Dialer は、Windows 2000 および Windows XP に既定でインストールされている唯一の H.323 TAPI ベースのアプリケーションです。 サードパーティ製アプリケーションでは、TAPI で H.323 機能を有効にして使用できます。

注 Microsoft 電話 Dialer は Windows Server 2003 には含まれていません。

NetMeeting とは

NetMeeting は、マルチポイント データ会議、テキスト チャット、ホワイトボード、ファイル転送、ポイントツーポイント音声およびビデオを使用して、Windows のすべてのユーザーに完全なインターネットおよびエンタープライズ会議ソリューションを提供します。 NetMeeting は H.323 プロトコルを実装し、影響を受けるすべてのシステムで既定でインストールされますが、既定では実行されません。

NetMeeting を実行しているが、インターネット接続共有、ICF、またはルーティングおよびリモート アクセス サービスを実行していない場合。 脆弱かどうかの判断

はい。 NetMeeting を実行している場合、この問題に対して脆弱になります。

NetMeeting を実行しているが、ILS サーバーまたはピアツーピア NetMeeting セッションに接続されていない場合、脆弱ですか?

はい。TCP ポート 1720 と 1503 がシステムでブロックされていない限り。

NetMeeting のスタンドアロン バージョンをインストールしたことがない場合、脆弱ですか?

NetMeeting は、Windows 2000、Windows XP、および Windows Server 2003 の一部として含まれていました。 この更新プログラムは、これらのオペレーティング システムに含まれていた NetMeeting のバージョンに対応します。 NetMeeting は、他のオペレーティング システムや他のアプリケーションの一部としてスタンドアロンダウンロードとしても使用でき、この問題に対しても脆弱になる可能性があります。 NetMeeting のスタンドアロン バージョンをインストールしている場合は、この脆弱性を解決する更新バージョンをインストールします。 更新されたバージョンをダウンロードするには、次 の Web サイトを参照してください。 この脆弱性を解決する更新バージョンはバージョン 3.01 (4.4.3399) です。

Windows 98、Windows 98 Second Edition、または Windows Millennium Edition は、この脆弱性の影響を受ける可能性がありますか?

いいえ。 これらのオペレーティング システムには NetMeeting が含まれている可能性がありますが、これらのオペレーティング システムではこの脆弱性は重要ではありません。 この脆弱性に対処する方法として、次 の Web サイトからこれらのオペレーティング システム用の NetMeeting のスタンドアロン バージョンをダウンロードしてインストールできます。 重大度評価の詳細については、次 の Web サイトを参照してください。

インターネット接続ファイアウォールとは

インターネット接続ファイアウォール (ICF) は、Windows XP または Windows Server 2003 を実行するシステムに基本的な侵入防止機能を提供します。 これは、インターネット接続共有で使用する場合に、ホーム ネットワークの一部であるパブリック ネットワークまたはシステムに直接接続されているシステム用に設計されています。

Windows XP または Windows Server 2003 でインターネット接続ファイアウォールのみを実行している場合、脆弱ですか?

いいえ。自動的には行われません。 ただし、ICF を実行している場合でも、NetMeeting を使用すると、この問題に対して脆弱になる可能性があります。 NetMeeting は ICF でこの脆弱性を公開する可能性のあるポートを開きます。

TCP ポート 1720 および 1503 を手動で開くと、この脆弱性が発生する可能性もあります。 サード パーティ製アプリケーションでは、H.323 通信に応答して ICF がポートを開く可能性もあります。

インターネット接続の共有とは

インターネット接続共有を使用すると、ユーザーは 1 つのシステムをインターネットに接続し、自宅または小規模のオフィス ネットワーク上の他のいくつかのシステムとインターネット サービスを共有できます。 Windows XP のネットワーク セットアップ ウィザードでは、1 つのインターネット接続をネットワーク内のすべてのシステムと共有するために必要なすべてのネットワーク設定が自動的に提供されます。 各システムは、インターネット エクスプローラーや Outlook Express などのプログラムを、システムがインターネットに直接接続されているかのように使用できます。

インターネット接続共有は、Windows 2000、Windows XP、および Windows Server 2003 の機能ですが、影響を受けるシステムでは既定では有効になっていません。

インターネット接続の共有を有効にしているが、インターネット接続ファイアウォールを有効にしていない場合、脆弱ですか?

はい。インターネット接続共有により、システムがこの問題に対して脆弱になる可能性があるポートが有効になります。

ICF とインターネット接続共有が実行されている場合、ユーザーも NetMeeting を使用していたり、ポート 1503 またはポート 1720 を手動で開いたりしていない限り、この攻撃は発生できませんでした。

Microsoft ルーティングとリモート アクセス サービスとは

Microsoft ルーティングおよびリモート アクセス サービスを使用すると、Windows 2000 Server または Windows Server 2003 を実行しているシステムがネットワーク ルーターとして機能できるようになります。 リモート アクセスを使用すると、リモート システムを持つユーザーは、組織のネットワークまたはインターネットへの論理接続を作成できます。 Microsoft ルーティングおよびリモート アクセス サービスは、ネットワークとの間でルーティングされる H.323 要求をサポートします。

Windows 2000 で Microsoft ルーティングおよびリモート アクセス サービスを実行している場合、脆弱ですか?

はい。 既定では、Windows 2000 では、ネットワーク アドレス変換 (NAT) 機能を備えた Microsoft ルーティングおよびリモート アクセス サービスが使用され、この脆弱性が公開されます。 ただし、管理者は netsh コマンドを使用して H.323 機能を無効にすることができます。 詳細な手順については、Microsoft サポート技術情報の記事 838834を参照してください。

注: NAT を使用せずに別の Microsoft ルーティングおよびリモート アクセス サービス (仮想プライベート ネットワーク、OSPF、ルーティング情報プロトコルなど) を実行するようにシステムが構成されている場合、この脆弱性の影響を受けません。

Windows Server 2003 で Microsoft ルーティングおよびリモート アクセス サービスを実行している場合、脆弱ですか?

いいえ。 既定では、Windows Server 2003 ルーティングおよびリモート アクセス サービスでは H.323 機能は有効になりません。 ただし、管理者は H.323 機能を有効にし、システムをこの脆弱性にさらす可能性があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

誰がこの脆弱性を悪用する可能性がありますか?

上記の影響を受けるシステムのいずれかに特別に細工された H.323 要求を配信できる匿名ユーザー。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、NetMeeting、H.323 ベースの TAPI プログラム、またはその両方を実行しているユーザーを見つけることによって、この脆弱性を悪用しようとする可能性があります。

攻撃者は、インターネット接続共有が有効になっているシステムでコードをリモートで実行することで、インターネット接続共有を通じてこの脆弱性を悪用しようとする可能性もあります。 ICF とインターネット接続の共有が実行されている場合、ユーザーも NetMeeting を使用していない限り、この攻撃は不可能です。

どのシステムが主に脆弱性のリスクにさらされていますか?

NetMeeting を実行しているシステム、または H.323 ベースのプログラムを実行しているシステム。

更新プログラムは何を行いますか?

この更新プログラムは、影響を受けるシステムが特別に細工された H.323 要求を処理する方法を変更します。

Virtual DOS マシンの脆弱性 - CAN-2004-0118:

Virtual DOS Machine (VDM) サブシステムを処理するオペレーティング システム コンポーネントに特権昇格の脆弱性が存在します。 この脆弱性により、ログオンしているユーザーがシステムを完全に制御できる可能性があります。

「Virtual DOS マシンの脆弱性」の問題を緩和する要素 - CAN-2004-0118:

• 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を持ち、ローカルでログオンできる必要があります。 リモートから悪用される可能性はありません。
• Windows XP および Windows Server 2003 は、この脆弱性の影響を受けません。

「Virtual DOS マシンの脆弱性」の回避策 - CAN-2004-0118:

なし。

「Virtual DOS マシンの脆弱性」の FAQ - CAN-2004-0118:

この脆弱性の範囲は何ですか?

これは特権評価の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。 この脆弱性を悪用するには、攻撃者がローカルでシステムにログオンし、プログラムを実行できる必要があります。

この脆弱性の原因は何ですか?

VDM サブシステムを処理するオペレーティング システム コンポーネントを使用して、保護されたカーネル メモリにアクセスできます。 特定の状況では、一部の特権オペレーティング システム関数はシステム構造を検証せず、攻撃者がシステム特権で悪意のあるコードを実行する可能性があります。

Virtual DOS マシン サブシステムとは

仮想 DOS マシン (VDM) は、Windows NT ベースのオペレーティング システムで MS-DOS および DOS ベースの Windows をエミュレートする環境です。 VDM は、ユーザーが Windows NT ベースのオペレーティング システムで MS-DOS アプリケーションを起動するたびに作成されます。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

誰がこの脆弱性を悪用する可能性がありますか?

この脆弱性を悪用するには、攻撃者がローカルでシステムにログオンし、プログラムを実行できる必要があります。

攻撃者がこの脆弱性を悪用する方法

この脆弱性を悪用するには、まず攻撃者がシステムにログオンする必要があります。 攻撃者は、この脆弱性を悪用する可能性のある特別に設計されたアプリケーションを実行して、影響を受けるシステムを完全に制御する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

ワークステーションとターミナル サーバーは主に危険にさらされます。 サーバーが危険にさらされるのは、十分な管理資格情報を持たないユーザーに、サーバーにログオンしてプログラムを実行する機能が与えられている場合のみです。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。

この脆弱性はインターネット経由で悪用される可能性がありますか?

いいえ。 攻撃者は、攻撃対象の特定のシステムにログオンできる必要があります。 攻撃者は、この脆弱性を使用してプログラムをリモートで読み込んで実行することはできません。

更新プログラムは何を行いますか?

この更新プログラムは、VDM に割り当てられているメモリの場所を参照するときに、Windows がデータを検証する方法を変更します。

Negotiate SSP の脆弱性 - CAN-2004-0119

ネゴシエート セキュリティ ソフトウェア プロバイダー (SSP) インターフェイスに、リモートでコードを実行できるバッファー オーバーランの脆弱性が存在します。 この脆弱性は、認証プロトコルの選択時に使用される値をネゴシエート SSP インターフェイスが検証する方法が原因で存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。

「Negotiate SSP の脆弱性」の問題を緩和する要素 - CAN-2004-0119:

• 最も一般的なシナリオでは、この脆弱性はサービス拒否の脆弱性です。
• インターネット インフォメーション サービス (IIS) では、Negotiate SSP インターフェイスも既定で有効になっています。 ただし、既定では、Windows 2000 (IIS 5.0) と Windows Server 2003 Web Server Edition (IIS 6.0) のみがインターネット インフォメーション サービス (IIS) をインストールします。
• Windows NT 4.0 は、この脆弱性の影響を受けません。

[Negotiate SSP の脆弱性] の回避策 - CAN-2004-0119:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• インターネット インフォメーション サービス攻撃ベクトルの回避策

  • 統合 Windows 認証を無効にする

    管理リストレーターは、統合 Windows 認証を無効にすることで、インターネット インフォメーション サービスによる攻撃のリスクを軽減するのに役立ちます。 このオプションを有効または無効にする方法については、次 の Web サイトを参照してください。

    回避策の影響: Windows NT チャレンジ/応答認証 (NTLM) または Kerberos 認証を必要とする IIS ベースのアプリケーションが正しく機能しなくなります。

  • ネゴシエート SSP を無効にする

    管理リストレーターは、Microsoft サポート技術情報の記事215383の手順に従って、ネゴシエート SSP (NTLM が有効な状態を維持する) のみを無効にすることができます。次に要約します。

    ネゴシエートを無効にする (したがって Kerberos 認証を禁止する) には、次のコマンドを使用します。 悪影響を回避するには、"NTLM" を大文字にする必要があることに注意してください。

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”

    回避策の影響: Kerberos 認証を必要とする IIS ベースのアプリケーションが正しく機能しなくなります。

Negotiate SSP の脆弱性に関する FAQ - CAN-2004-0119:

この脆弱性の範囲は何ですか?

これはバッファー オーバーランの脆弱性です。 ただし、最も可能性の高いサービス拒否の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

Negotiate SSP インターフェイスのチェックされていないバッファー。

ネゴシエート セキュリティ サポートが提供するインターフェイスとは

Windows ではさまざまな種類の認証がサポートされているため、クライアントがサーバーに接続するときに使用される認証方法をネゴシエートする必要があります。 Negotiate SSP インターフェイスは、この機能を提供するオペレーティング システム コンポーネントです。 これは、RFC 2478 で定義されているシンプルで保護された GSS-API ネゴシエート メカニズム (SPNEGO) に基づいています。 Windows 認証メソッドの詳細については、次の Web サイトを参照してください。

インターネット インフォメーション サービスが影響を受けるのはなぜですか?

また、インターネット インフォメーション サービス (IIS) ではネゴシエート SSP インターフェイスも既定で有効になっており、IIS は NTLM や Kerberos などの認証プロトコルを使用してリソースへの安全なアクセスを提供できます。 IIS でサポートされる認証方法の詳細については、次 の Web サイトを参照してください。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

サービス拒否のみが発生する可能性が最も高いですが、この脆弱性を悪用した攻撃者は、プログラムのインストールを含め、影響を受けるシステムを完全に制御する可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。 攻撃者によって影響を受けるシステムが応答しなくなると、管理者は影響を受けるシステムを再起動することで通常の機能を復元できます。 ただし、更新プログラムが適用されるまでメインシステムは新しいサービス拒否攻撃の影響を受けやすくなります。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるシステムに特別に細工されたメッセージを配信できる匿名ユーザーは、この脆弱性を悪用しようとする可能性があります。 この機能は影響を受けるすべてのシステムで既定で有効になっているため、影響を受けるシステムとの接続を確立できるユーザーは、この脆弱性を悪用しようとする可能性があります。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、特別に細工されたネットワーク メッセージを作成し、影響を受けるシステムにメッセージを送信することにより、この脆弱性を悪用する可能性があります。

攻撃者は、別のベクターを介して影響を受けるコンポーネントにアクセスする可能性もあります。 たとえば、攻撃者は対話形式で、または脆弱なコンポーネント (ローカルまたはリモート) にパラメーターを渡す別のプログラムを使用して、システムにログオンする可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

影響を受けるすべてのシステムは、既定でこの問題に対して脆弱になる可能性があります。 さらに、既定では、インターネット インフォメーション サービス 5.0、インターネット インフォメーション サービス 5.1、および インターネット インフォメーション サービス 6.0 を実行しているシステムは、リッスン ポートを介してこの問題に対しても脆弱です。

更新プログラムは何を行いますか?

この更新プログラムは、割り当てられたバッファーにメッセージを渡す前に、Negotiate SSP インターフェイスがメッセージの長さを検証する方法を変更することで、この脆弱性を排除します。

SSL の脆弱性 - CAN-2004-0120:

Microsoft Secure Sockets Layer (SSL) ライブラリにサービス拒否の脆弱性が存在します。 この脆弱性は、Microsoft SSL ライブラリが不正な SSL メッセージを処理する方法に起因します。 この脆弱性により、影響を受けるシステムが Windows 2000 および Windows XP での SSL 接続の受け入れを停止する可能性があります。 Windows Server 2003 では、この脆弱性により、影響を受けるシステムが自動的に再起動する可能性があります。

「SSL の脆弱性」の問題を緩和する要素 - CAN-2004-0120:

• SSL を有効にしたシステムのみが影響を受け、通常はサーバー システムのみが影響を受けます。 影響を受けるシステムでは、SSL サポートは既定では有効になっていません。 ただし、SSL は、一般的に Web サーバーで、電子コマース プログラム、オンライン バンキング、およびセキュリティで保護された通信を必要とするその他のプログラムをサポートするために使用されます。
• ファイアウォールのベスト プラクティスと標準の既定のファイアウォール構成は、エンタープライズ境界外の攻撃からネットワークを保護するのに役立ちます。 ベスト プラクティスでは、インターネットに接続されているシステムで公開されるポートの数は最小限にすることをお勧めします。
• Windows NT 4.0 は、この脆弱性の影響を受けません。

「SSL の脆弱性」の回避策 - CAN-2004-0120:

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、以下に示します。

• ファイアウォールでポート 443 と 636 をブロックする

  ポート 443 は、SSL トラフィックを受信するために使用されます。 ポート 636 は、LDAP SSL 接続 (LDAPS) に使用されます。 ファイアウォールでブロックすると、そのファイアウォールの背後にあるシステムがこの脆弱性を悪用するのを防ぐことができます。 この脆弱性を悪用するために使用できるその他のポートが見つかる可能性があります。 ただし、ここに示されているポートは最も一般的な攻撃ベクトルです。 Microsoft では、他のポートを使用する可能性がある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。

  回避策の影響: ポート 443 または 636 がブロックされている場合、影響を受けるシステムは SSL または LDAPS を使用して外部接続を受け入れなくなります。

SSL の脆弱性に関する FAQ - CAN-2004-0120:

この脆弱性の範囲は何ですか?

Microsoft Secure Sockets Layer (SSL) ライブラリのサービス拒否の脆弱性は、特別に細工された SSL メッセージの処理方法に影響します。 この脆弱性により、影響を受けるシステムが Windows 2000 および Windows XP で SSL 接続の受け入れを停止する可能性があります。 Windows Server 2003 の脆弱性により、影響を受けるシステムが自動的に再起動する可能性があります。

サービス拒否の脆弱性により、攻撃者はコードを実行したり、特権を昇格させたりすることはできませんが、影響を受けるシステムが要求の受け入れを停止する可能性があることに注意してください。

この脆弱性の原因は何ですか?

メッセージ入力をチェックするために SSL ライブラリによって使用されるプロセス。

Microsoft Secure Sockets Layer ライブラリとは

Microsoft Secure Sockets Layer ライブラリには、さまざまなセキュリティで保護された通信プロトコルのサポートが含まれています。 これには、トランスポート層セキュリティ 1.0 (TLS 1.0)、Secure Sockets Layer 3.0 (SSL 3.0)、古くて使用頻度の低い Secure Sockets Layer 2.0 (SSL 2.0)、プライベート通信テクノロジ 1.0 (PCT 1.0) プロトコルが含まれます。

これらのプロトコルは、サーバーとクライアント システムの間に暗号化された接続を提供します。 SSL は、ユーザーがインターネットなどのパブリック ネットワーク間で接続するときに情報を保護するのに役立ちます。 SSL のサポートには、サーバーにインストールする必要がある SSL 証明書が必要です。 SSL の詳細については、マイクロソフト サポート技術情報の記事 245152を参照してください。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

Windows 2000 および Windows XP では、攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムが SSL 接続の受け入れを停止する可能性があります。 Windows Server 2003 では、攻撃者が影響を受けるシステムを自動的に再起動させる可能性があります。 その間、影響を受けるシステムは認証要求に応答できません。 再起動後、影響を受けるシステムは一般的な機能に復元されます。 ただし、更新プログラムが適用されない限り、新しいサービス拒否攻撃の影響を受けやすくなります。

攻撃者がこの脆弱性を悪用した場合、システム エラー イベントが記録される可能性があります。 イベント ID 5000 はシステム イベント ログに記録され、SymbolicName の値は "SPMEVENT_PACKAGE_FAULT" であり、次の説明が含まれます。

"セキュリティ パッケージ名によって例外が生成されました"。NAME には"Schannel" または "Microsoft Unified Security Protocol Provider" の値が含まれています。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるシステムに特別に細工された SSL メッセージを配信できる匿名ユーザーは、この脆弱性を悪用しようとする可能性があります。

攻撃者がこの脆弱性を悪用する方法

攻撃者は、SSL 対応サービスを介して脆弱なサーバーと通信し、特別に細工された特定の種類の TCP メッセージを送信するプログラムを作成することにより、この脆弱性を悪用する可能性があります。 このようなメッセージを受信すると、サービス拒否を引き起こす可能性のある方法で脆弱なシステムが失敗する可能性があります。

攻撃者は、別のベクターを介して影響を受けるコンポーネントにアクセスする可能性もあります。 たとえば、攻撃者は対話形式で、または脆弱なコンポーネント (ローカルまたはリモート) にパラメーターを渡す別のプログラムを使用して、システムにログオンする可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?

SSL が有効になっているすべてのシステムは脆弱です。 SSL は通常、HTTPS とポート 443 を使用してインターネット インフォメーション サービスに関連付けられていますが、影響を受けるプラットフォームで SSL を実装するサービスは脆弱である可能性があります。 これには、インターネット インフォメーション サービス 4.0、インターネット インフォメーション サービス 5.0、インターネット インフォメーション サービス 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000 (SQL Server 2000 に付属)、SSL を使用するサードパーティ 製プログラムが含まれますが、これらに限定されません。.

Active Directory にインストールされている Windows 2000 doメイン コントローラーはメイン Enterprise Root 証明機関もインストールされているため、セキュリティで保護された SSL 接続を自動的にリッスンするため、この脆弱性の影響を受けます。

更新プログラムは何を行いますか?

この更新プログラムは、特別に細工された SSL メッセージの処理を変更することで、この脆弱性を排除します。

ASN.1 "Double Free" の脆弱性 - CAN-2004-0123

Microsoft ASN.1 ライブラリにリモートでコードが実行される脆弱性が存在します。 この脆弱性は、影響を受けるシステムでメモリが破損する可能性がある Microsoft ASN.1 ライブラリの "二重フリー" 状態が原因で発生します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 ただし、最も可能性の高い攻撃シナリオでは、この問題は サービス 拒否の脆弱性です。

「ASN.1 "Double Free" の脆弱性」の問題を緩和する要素 - CAN-2004-0123:

• 影響を受ける各システム上のメモリ構造の独自のレイアウトのため、この脆弱性を大規模に悪用することは困難になる可能性があります。

「ASN.1 "Double Free" の脆弱性 」の回避策 - CAN-2004-0123:

なし。

ASN.1 "Double Free" の脆弱性に関する FAQ - CAN-2004-0123:

この脆弱性の範囲は何ですか?

リモートでコードが実行される脆弱性である可能性は高くなりますが、これはサービス拒否の脆弱性である可能性が最も高いです。 ただし、攻撃者がこの脆弱性を悪用してコードを実行できるようにすると、プログラムのインストールなど、影響を受けるシステムを完全に制御できる可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

この脆弱性の原因は何ですか?

Microsoft ASN.1 ライブラリのメモリ破損につながる可能性のある "二重フリー" 状態が存在する可能性があります。

"double free" 条件とは

攻撃者は、特別に細工されたメッセージの処理中に、影響を受けるシステムを引き起こし、複数回使用するために確保されている可能性のあるメモリを解放または "解放" しようとする可能性があります。 既に解放されているメモリを解放すると、メモリが破損する可能性があります。 攻撃者は、破損が発生したときに実行される任意のコードをメモリに追加する可能性があります。 このコードは、システム レベルの特権で実行できます。

通常、この脆弱性によりサービス拒否が発生します。 ただし、制限付きで、コードの実行が発生する可能性があります。 影響を受ける各システム上のメモリの固有のレイアウトのため、この脆弱性を大規模に悪用することは困難になる可能性があります。

ASN.1 とは

抽象構文表記 1 (ASN.1) は、標準を定義するために使用される言語です。 これは、さまざまなプラットフォーム間でのデータ交換を可能にするために、テクノロジ業界の多くのアプリケーションやデバイスで使用されています。 ASN.1 は、特定の標準、エンコード方法、プログラミング言語、またはハードウェア プラットフォームとは直接関係がありません。 ASN.1 の詳細については、マイクロソフト サポート技術情報の記事 252648を参照してください。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?

攻撃者がこの脆弱性を悪用してコードの実行を許可した場合、プログラムのインストールなど、影響を受けるシステムを完全に制御する可能性があります。データの表示、変更、または削除。または、完全な特権を持つ新しいアカウントを作成します。

最も可能性の高いシナリオでは、攻撃者がサービス拒否状態を引き起こす可能性があります。 管理者は、影響を受けるシステムを再起動して、一般的な機能を復元できます。

攻撃者がこの脆弱性を悪用する方法

ASN.1 は多くのアプリケーションやデバイスの標準であるため、潜在的な攻撃ベクトルが多数存在します。 この脆弱性を悪用するには、攻撃者は特別に細工された ASN.1 データをシステムに強制的にデコードさせる必要があります。 たとえば、ASN.1 に基づく認証プロトコルを使用すると、攻撃者は特別に細工された認証要求を作成し、この脆弱性を公開する可能性があります。

この脆弱性によって主に危険にさらされているシステムは何ですか?

サーバー システムは、ASN.1 データをデコードするサーバー プロセスが実行される可能性が高いため、クライアント システムよりもリスクが高くなります。

Windows 98、Windows 98 Second Edition、または Windows Millennium Edition は、この脆弱性の影響を受ける可能性がありますか?

いいえ。 Windows Millennium Edition には影響を受けるコンポーネントが含まれていますが、この脆弱性は重要ではありません。 重大度評価の詳細については、次 の Web サイトを参照してください。

更新プログラムは何を行いますか?

この更新プログラムは、ASN.1 ライブラリによって特別に細工されたデータの処理を変更することで、この脆弱性を排除します。

この脆弱性は、MS04-007 によって修正された脆弱性とどのように関連していますか?

どちらの脆弱性も ASN.1 コンポーネントに含まれています。 ただし、この更新プログラムは、MS04-007 の一部として対処されなかった新しく報告された脆弱性を修正します。 MS04-007 は、このセキュリティ情報で説明されている脆弱性から完全に保護しますが、この更新プログラムには MS04-007 で提供されるすべての更新プログラムが含まれており、置き換えられます。 この更新プログラムをインストールする場合は、MS04-007 をインストールする必要はありません。

セキュリティ更新プログラムの情報

インストール プラットフォームと前提条件:

プラットフォームの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。

Windows Server 2003 (すべてのバージョン)

前提条件 このセキュリティ更新プログラムには、Windows Server 2003 のリリースバージョンが必要です。

今後のサービス パックへの追加: この問題の更新プログラムは、Windows Server 2003 Service Pack 1 に含まれる予定です。

インストール情報

このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。

/help コマンド ライン オプションを表示します

セットアップ モード

/quiet 静音 モードを使用する (ユーザーの操作や表示なし)

/passive 無人モード (進行状況バーのみ)

/uninstall パッケージをアンインストールします

再起動オプション

/norestart インストールが完了したときに再起動しない

/forcerestart インストール後の再起動

特別なオプション

/l インストールされている Windows 修正プログラムまたは更新プログラム パッケージの一覧

/o プロンプトを表示せずに OEM ファイルを上書きする

/n アンインストールに必要なファイルをバックアップしない

/f コンピューターのシャットダウン時に他のプログラムを強制的に閉じる

注: これらのスイッチを 1 つのコマンドに結合できます。 旧バージョンとの互換性のために、セキュリティ更新プログラムは、以前のバージョンのセットアップ ユーティリティで使用されるセットアップ スイッチもサポートしています。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事 262841を参照してください。

デプロイ情報

ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows Server 2003 のコマンド プロンプトで次のコマンドを使用します。

Windowsserver2003-kb835732-x86-enu /passive /quiet

システムの再起動を強制せずにセキュリティ更新プログラムをインストールするには、Windows Server 2003 のコマンド プロンプトで次のコマンドを使用します。

Windowsserver2003-kb835732-x86-enu /norestart

ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法については、ソフトウェア更新サービスの Web サイトを参照してください。

再起動の要件

このセキュリティ更新プログラムを適用した後、システムを再起動する必要があります。

削除情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。

システム管理者は、Spuninst.exe ユーティリティを使用して、このセキュリティ更新プログラムを削除することもできます。 Spuninst.exe ユーティリティは、%Windir%\$NTUninstall KB (キロバイト)835732$\Spuninst フォルダーにあります。 Spuninst.exe ユーティリティは、次のセットアップ スイッチをサポートしています。

/?: インストール スイッチの一覧を表示します。

/u: 無人モードを使用します。

/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

ファイル情報

この更新プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。

Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition、および Windows Server 2003 Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364,544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61,440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601,600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783,360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799,232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60,928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253,952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73,728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565,760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153,088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364,544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64,000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601,600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783,360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801,280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60,928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253,952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73,728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565,760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153,088 Schannel.dll X86 RTMQFE

Windows Server 2003 64 ビット Enterprise Edition と Windows Server 2003 64 ビット Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

注: このセキュリティ更新プログラムを Windows Server 2003 または Windows XP 64 ビット エディション バージョン 2003 にインストールすると、インストーラーチェック、システムで更新されているファイルのいずれかが以前に Microsoft 修正プログラムによって更新されているかどうかを確認します。 これらのファイルのいずれかを更新する修正プログラムを以前にインストールした場合、インストーラーは RTMQFE ファイルをシステムにコピーします。 それ以外の場合、インストーラーは RTMGDR ファイルをシステムにコピーします。 詳細については、マイクロソフト サポート技術情報の記事 824994を参照してください。

更新プログラムのインストールの確認

影響を受けるシステムにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用できます。これにより、管理者はローカル およびリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。

次のレジストリ キーを確認して、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows Server 2003\SP1\KB (キロバイト)835732\Filelist

注: 管理者または OEM が835732セキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。

Windows XP (すべてのバージョン)

注 : Windows XP 64 ビット エディション バージョン 2003 の場合、このセキュリティ更新プログラムは Windows Server 2003 64 ビット エディションのセキュリティ更新プログラムと同じです。

前提条件 このセキュリティ更新プログラムには、Windows XP または Windows XP Service Pack 1 (SP1) のリリースバージョンが必要です。 詳細については、マイクロソフト サポート技術情報の記事 322389を参照してください。

これらの問題の更新プログラムは、Windows XP Service Pack 2 に含まれます。

インストール情報

このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。

/help コマンド ライン オプションを表示します

セットアップ モード

/quiet 静音 モードを使用する (ユーザーの操作や表示なし)

/passive 無人モード (進行状況バーのみ)

/uninstall パッケージをアンインストールします

再起動オプション

/norestart インストールが完了したときに再起動しない

/forcerestart インストール後の再起動

特別なオプション

/l インストールされている Windows 修正プログラムまたは更新プログラム パッケージの一覧

/o プロンプトを表示せずに OEM ファイルを上書きする

/n アンインストールに必要なファイルをバックアップしない

/f コンピューターのシャットダウン時に他のプログラムを強制的に閉じる

注: これらのスイッチを 1 つのコマンドに結合できます。 旧バージョンとの互換性のために、セキュリティ更新プログラムは、以前のバージョンのセットアップ ユーティリティで使用されるセットアップ スイッチもサポートしています。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事 262841を参照してください。

デプロイ情報

ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows XP のコマンド プロンプトで次のコマンドを使用します。

Windowsxp-kb835732-x86-enu /passive /quiet

システムの再起動を強制せずにセキュリティ更新プログラムをインストールするには、Windows XP のコマンド プロンプトで次のコマンドを使用します。

Windowsxp-kb835732-x86-enu /norestart

ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法については、ソフトウェア更新サービスの Web サイトを参照してください。

再起動の要件

このセキュリティ更新プログラムを適用した後、システムを再起動する必要があります。

削除情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。

システム管理者は、Spuninst.exe ユーティリティを使用して、このセキュリティ更新プログラムを削除することもできます。 Spuninst.exe ユーティリティは、%Windir%\$NTUninstall KB (キロバイト)835732$\Spuninst フォルダーにあります。 Spuninst.exe ユーティリティは、次のセットアップ スイッチをサポートしています。

/?: インストール スイッチの一覧を表示します。

/u: 無人モードを使用します。

/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

ファイル情報

この更新プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。

Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48,640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364,544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40,960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241,664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253,440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593,408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454,656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648,192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36,864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51,712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969,216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253,952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301,568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73,728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550,400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136,704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364,544 Callcont.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1363 40,960 Evtgprov.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1346 257,536 Gdi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,440 H323.tsp (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 593,408 H323msp.dll (with sp1)
26-Mar-2004 19:30 5.1.2600.1340 741,376 Helpctr.exe (with sp1)
26-Mar-2004 19:43 5.1.2600.1364 439,808 Ipnathlp.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1361 667,648 Lsasrv.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1331 36,864 Mf3216.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1362 51,712 Msasn1.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 971,264 Msgina.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,952 Mst120.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 306,176 Netapi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 73,728 Nmcom.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1351 548,352 Rtcdll.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1347 136,704 Schannel.dll (with sp1)
10-Mar-2004 17:59 5.1.2600.1363 593,408 Xpsp2res.dll (with sp1)

Windows XP 64 ビット エディション Service Pack 1:

Date Time Version Size File name Platform
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134,656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884,736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1,035,264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2,230,272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2,426,368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1,782,784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2,069,504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128,512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179,200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1,272,320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903,168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508,416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237,568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253,440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593,408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439,808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36,864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51,712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971,264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306,176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136,704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593,408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592,896 Xpsp2res.dll IA64

Windows XP 64 ビット エディション バージョン 2003:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

注: このセキュリティ更新プログラムの Windows XP および Windows XP 64 ビット エディション バージョン 2003 バージョンは、元のバージョンの Windows XP と Windows XP Service Pack 1 (SP1) の両方のファイルを含むデュアル モード パッケージとしてパッケージ化されています。 デュアルモード パッケージの詳細については、Microsoft サポート技術情報の記事 328848を参照してください。

Windows XP 64 ビット エディション バージョン 2003 のセキュリティ更新プログラムをインストールすると、インストーラーチェック、システムで更新されているファイルのいずれかが以前に Microsoft 修正プログラムによって更新されたかどうかを確認します。 これらのファイルのいずれかを更新する修正プログラムを以前にインストールした場合、インストーラーは RTMQFE ファイルをシステムにコピーします。 それ以外の場合、インストーラーは RTMGDR ファイルをシステムにコピーします。 詳細については、マイクロソフト サポート技術情報の記事 824994を参照してください。

更新プログラムのインストールの確認

影響を受けるシステムにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用できます。これにより、管理者はローカル およびリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。

次のレジストリ キーを確認することで、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。

Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP 64 ビット エディション Service Pack 1、Windows XP タブレット PC エディション、Windows XP Media Center Edition の場合:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows XP\SP2\KB (キロバイト)835732\Filelist

Windows XP 64 ビット エディション バージョン 2003 の場合:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows Server 2003\SP1\KB (キロバイト)835732\Filelist

注: 管理者または OEM が835732セキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。

Windows 2000 (すべてのバージョン)

Windows 2000 の前提条件。このセキュリティ更新プログラムには、Service Pack 2 (SP2)、Service Pack 3 (SP3)、または Service Pack 4 (SP4) が必要です。

上記のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンでは、セキュリティ更新プログラムのサポートが含まれていないか、影響を受けなくなる可能性があります。 製品とバージョンのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクル Web サイトを参照してください。

最新のサービス パックを入手する方法の詳細については、Microsoft サポート技術情報の記事 260910 を参照してください。

今後のサービス パックへの追加: この問題の更新プログラムは、Windows 2000 Service Pack 5 に含まれる予定です。

インストール情報

このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。

/help コマンド ライン オプションを表示します

セットアップ モード

/quiet 静音 モードを使用する (ユーザーの操作や表示なし)

/passive 無人モード (進行状況バーのみ)

/uninstall パッケージをアンインストールします

再起動オプション

/norestart インストールが完了したときに再起動しない

/forcerestart インストール後の再起動

特別なオプション

/l インストールされている Windows 修正プログラムまたは更新プログラム パッケージの一覧

/o プロンプトを表示せずに OEM ファイルを上書きする

/n アンインストールに必要なファイルをバックアップしない

/f コンピューターのシャットダウン時に他のプログラムを強制的に閉じる

注: これらのスイッチを 1 つのコマンドに結合できます。 旧バージョンとの互換性のために、セキュリティ更新プログラムは、以前のバージョンのセットアップ ユーティリティで使用されるセットアップ スイッチもサポートしています。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事 262841を参照してください。

デプロイ情報

ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 のコマンド プロンプトで次のコマンドを使用します。

Windows2000-kb835732-x86-enu /passive /quiet

システムの再起動を強制せずにセキュリティ更新プログラムをインストールするには、Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 のコマンド プロンプトで次のコマンドを使用します。

Windows2000-kb835732-x86-enu /norestart

ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法については、ソフトウェア更新サービスの Web サイトを参照してください。

再起動の要件

このセキュリティ更新プログラムを適用した後、システムを再起動する必要があります。

削除情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。

システム管理者は、Spuninst.exe ユーティリティを使用して、このセキュリティ更新プログラムを削除することもできます。 Spuninst.exe ユーティリティは、%Windir%\$NTUninstall KB (キロバイト)835732$\Spuninst フォルダーにあります。 Spuninst.exe ユーティリティは、次のセットアップ スイッチをサポートしています。

/?: インストール スイッチの一覧を表示します。

/u: 無人モードを使用します。

/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

ファイル情報

この更新プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。

メモ インストール中に日付と時刻の情報が変更される可能性があります。 ファイルの正確性を判断するには、バージョン、サイズ、およびファイル名の情報を使用する必要があります。

Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388,368 Advapi32.dll
24-Mar-2004 02:17 5.0.2195.6824 42,256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69,904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394,512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236,304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543,504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61,200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76,048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134,928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92,432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47,888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242,448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255,248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442,640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143,632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210,192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71,888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520,976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33,552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37,136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54,544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53,520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335,120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249,616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123,152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312,592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371,472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62,224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1,028,880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1,699,904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1,699,264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1,720,064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1,726,032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115,984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90,264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49,936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388,368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111,376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253,200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143,120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17,168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971,536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5,869,056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27,920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403,216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385,808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50,960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57,104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311,296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181,520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167,184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll Uniproc

更新プログラムのインストールの確認

影響を受けるシステムにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用できます。これにより、管理者はローカル およびリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。

次のレジストリ キーを確認して、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP5\KB (キロバイト)835732\Filelist

注: 管理者または OEM が835732セキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。

Windows NT 4.0 (すべてのバージョン)

前提条件 このセキュリティ更新プログラムには、Windows NT Workstation 4.0 Service Pack 6a (SP6a)、Windows NT Server 4.0 Service Pack 6a (SP6a)、または Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 (SP6) が必要です。

注: Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 のセキュリティ更新プログラムには、前提条件として Windows NT Server 4.0 ターミナル サーバー エディションセキュリティ ロールアップ パッケージ (SRP) が必要です。 SRP をダウンロードするには、次の Web サイトを参照してください。 このセキュリティ情報に記載されているセキュリティ更新プログラムをインストールする前に、SRP をインストールする必要があります。 Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6 を使用していない場合は、SRP をインストールする必要はありません。

上記のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンでは、セキュリティ更新プログラムのサポートが含まれていないか、影響を受けなくなる可能性があります。 製品とバージョンのサポート ライフサイクルを確認するには、次の Microsoft サポート ライフサイクル Web サイトを参照してください。

最新のサービス パックを入手する方法の詳細については、マイクロソフト サポート技術情報の記事 152734を参照してください。

インストール情報

このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。

/y: 削除を実行します (/m または /q のみ)

/f: シャットダウン プロセス中にプログラムを強制的に終了させる

/n: アンインストール フォルダーを作成しない

/z: 更新が完了したときに再起動しない

/q: ユーザー インターフェイスなしで Quiet または Unattended モードを使用します (このスイッチは /m のスーパーセットです)

/m: ユーザー インターフェイスで無人モードを使用する

/l: インストールされている修正プログラムを一覧表示する

/x: セットアップを実行せずにファイルを抽出する

注: これらのスイッチを 1 つのコマンドに結合できます。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事 262841を参照してください。

デプロイ情報

ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows NT 4.0 のコマンド プロンプトで次のコマンドを使用します。

Windowsnt4server-kb835732-x86-enu /q

Windows NT Server 4.0 ターミナル サーバー エディションの場合:

Windowsnt4terminalserver-kb835732-x86-enu /q

Windows NT Workstation 4.0 の場合:

Windowsnt4workstation-kb835732-x86-enu /q

システムの再起動を強制せずにセキュリティ更新プログラムをインストールするには、Windows NT Server 4.0 のコマンド プロンプトで次のコマンドを使用します。

Windowsnt4server-kb835732-x86-enu /z

Windows NT Server 4.0 ターミナル サーバー エディションの場合:

Windowsnt4terminalserver-kb835732-x86-enu /z

Windows NT Workstation 4.0 の場合:

Windowsnt4workstation-kb835732-x86-enu /z

ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法の詳細については、ソフトウェア更新サービス の Web サイトを参照してください。

再起動の要件

このセキュリティ更新プログラムを適用した後、システムを再起動する必要があります。

削除情報

このセキュリティ更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。

システム管理者は、Hotfix.exe ユーティリティを使用して、このセキュリティ更新プログラムを削除できます。 Hotfix.exe ユーティリティは %Windir%\$NTUninstall KB (キロバイト)835732$ フォルダーにあります。 Hotfix.exe ユーティリティは、次のセットアップ スイッチをサポートしています。

/y: 削除を実行します (/m または /q スイッチでのみ)

/f: シャットダウン プロセス中にプログラムを強制的に終了させる

/n: アンインストール フォルダーを作成しない

/z: インストールが完了したら再起動しない

/q: ユーザー インターフェイスのない Quiet モードまたは無人モードを使用します (このスイッチは /m スイッチのスーパーセットです)

/m: ユーザー インターフェイスで無人モードを使用する

/l: インストールされている修正プログラムを一覧表示する

ファイル情報

この更新プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。

メモ インストール中に日付と時刻の情報が変更される可能性があります。 ファイルの正確性を判断するには、バージョン、サイズ、およびファイル名の情報を使用する必要があります。

Windows NT Workstation 4.0

Date Time Version Size File name Folder
--------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Windows NT Server 4.0:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128 Bit

Windows NT Server 4.0 ターミナル サーバー エディション:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206,096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40,208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:41 4.0.1381.33559 208,656 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1,004,160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983,104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332,048 User32.dll
26-Jan-2004 16:59 4.0.1381.33559 1,280,816 Win32k.sys
16-Dec-2003 17:56 4.0.1381.33559 196,368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

更新プログラムのインストールの確認

影響を受けるシステムにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用できます。これにより、管理者はローカル およびリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。

次のレジストリ キーを確認して、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB (キロバイト)835732\File 1

注: 管理者または OEM が835732セキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。

その他の情報

受信確認

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

• LDAP の脆弱性を報告するためのコア セキュリティ テクノロジの Carlos Sarraute (CAN-2003-0663)。
• PCT の脆弱性を報告するためのインターネット セキュリティ システム (CAN-2003-0719)。
• Winlogon の脆弱性を報告するための Ondrej Sevecek (CAN-2003-0806)。
• ヘルプとサポートの脆弱性を報告するための iDefense と Jouko Pynnönen (CAN-2003-0907)。
• ユーティリティ マネージャーの脆弱性 (CAN-2003-0908) を報告するための、Security-Assessment.com、Cerrudo、Ben Pryor のブレット・ムーア。
• Windows 管理の 脆弱性 (CAN-2003-0909) を報告するためにオランダ税務署の代理として作業している LogicaCMG の Erik Kamphuis。
• ネゴシエート SSP の脆弱性を報告するための NSFOCUS セキュリティ チーム (CAN-2004-0119)。
• SSL の脆弱性を報告するための Tenable ネットワーク セキュリティの John Lampe (CAN-2004-0120)
• ASN.1 "Double Free" の脆弱性を報告するための Foundstone Labs と Qualys (CAN-2004-0123)。
• LSASS の脆弱性 (CAN-2003-0533)、メタファイルの脆弱性 (CAN-2003-0906)、ローカル記述子テーブルの脆弱性 (CAN-2003-0910)、および Virtual DOS マシンの脆弱性を報告するための eEye Digital Security (CAN-2004-0118)

その他のセキュリティ更新プログラムの取得:

その他のセキュリティの問題の更新は、次の場所から入手できます。

• セキュリティ更新プログラムは、Microsoft ダウンロード センターから入手できます。"security_patch" のキーワード (keyword)検索を行うことで、最も簡単に見つけることができます。
• コンシューマー プラットフォームの更新は、Windows Update Web サイト。

サポート:

• 米国およびカナダのお客様は、Microsoft 製品サポート サービス (1-866-PCSAFETY) からテクニカル サポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連するサポートに対する料金はかかりません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイトを参照してください。

セキュリティ リソース:

• Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。
• Microsoft ソフトウェア更新サービス
• Microsoft Baseline Security Analyzer (MB (メガバイト)SA)
• Windows Update
• Windows Update カタログ: Windows Update カタログの詳細については、マイクロソフト サポート技術情報の記事 323166を参照してください。
• Office Update

ソフトウェア更新サービス (SUS):

Microsoft Software Update Services (SUS) を使用すると、管理者は、Windows 2000 および Windows Server™ 2003 ベースのサーバー、および Windows® 2000 Professional または Windows XP Professional を実行するデスクトップ システムに、最新の重要な更新プログラムとセキュリティ更新プログラムを迅速かつ確実に展開できます。

ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法については、ソフトウェア更新サービスの Web サイトを参照してください。

Systems Management Server (SMS):

Systems Management Server では、このセキュリティ更新プログラムの展開に関するサポートを提供できます。 システム管理サーバーの詳細については、SMS Web サイトを参照してください。  SMS 2003 で提供されるセキュリティ更新プログラムの展開プロセスの多くの機能強化の詳細については、SMS 2003 セキュリティ パッチ管理 Web サイトを参照してください。  SMS 2.0 のユーザー向けに、SMS 2.0 ソフトウェア更新サービス機能パックや SMS 2.0 管理登録機能パックなど、セキュリティ更新プログラムの展開に管理者を支援する追加のツールがいくつか用意されています。  SMS 2.0 ソフトウェア更新サービス機能パックは、Microsoft Baseline Security Analyzer と Microsoft Office 検出ツールを利用して、セキュリティ情報の修復を幅広くサポートします。 一部のソフトウェア更新プログラムでは、コンピューターの再起動後に管理者権限が必要になる場合があります

注: SMS 2.0 ソフトウェア更新サービス機能パックのインベントリ機能は、特定のコンピューターの更新プログラムを対象とするために使用できます。SMS 2.0 管理istration Feature Pack の昇格された権限展開ツールをインストールに使用できます。 これにより、コンピューターの再起動後に Systems Management Server と管理者権限を使用して明示的なターゲット設定を必要とする更新プログラムに最適な展開が提供されます。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• V1.0 2004 年 4 月 13 日: セキュリティ情報の公開
• V1.1 2004 年 4 月 21 日: 更新された情報を更新後のセクションに反映するように更新されました。 更新された FAQ セクションの説明に従って、MB (メガバイト)SA 検出動作の変更を反映するように、セキュリティ情報も更新されました。 このセキュリティ情報には、ユーティリティ マネージャーの脆弱性 (CAN-2003-0908) の回避策セクションの改訂も含まれています。
• V1.2 2004 年 4 月 28 日: 改訂された Microsoft サポート技術情報の記事 835732の可用性を反映するように、警告セクションを更新しました。 このセキュリティ更新プログラムのインストール時にユーザーが発生する可能性がある現在の既知の問題について説明します。 この記事では、これらの問題に対して推奨される解決策についても説明します。
• V1.3 May 4, 2004: LSASS 脆弱性の回避策セクションに新しい情報が追加されました。
• V2.0 June 15, 2004: 更新された Windows NT 4.0 Workstation Update for the Pan Chinese Language の可用性に関する情報を更新しました。 この更新プログラムは、元の更新プログラムがインストールされている場合でも、お客様がインストールする必要があります。
• V2.1 2004 年 8 月 10 日: Windows XP RTM を使用する場合の PCT 脆弱性の回避策セクションを変更するためのセキュリティ情報を更新しました。

ビルド日: 2014-04-18T13:49:36Z-07:00