このセキュリティ更新プログラムは、Microsoft Silverlight で非公開で報告された脆弱性を解決します。 この脆弱性により、攻撃者がこの脆弱性を悪用するように設計された特別に細工された Silverlight コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導した場合、セキュリティ機能のバイパスが起こる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーに Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーに電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックさせ、攻撃者の Web サイトに誘導する必要があります。 また、バナー広告を使用するか、他の方法を使用して影響を受けるシステムに Web コンテンツを配信することで、特別に細工された Web コンテンツを表示することもできます。
このセキュリティ更新プログラムは、Mac とサポートされているすべての Microsoft Windows リリースにインストールされている場合、Microsoft Silverlight 5 および Microsoft Silverlight 5 Developer Runtime の重要と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
Microsoft Silverlight アプリケーションをサポートする Web ブラウザーはどれですか?
Microsoft Silverlight アプリケーションを実行するには、Microsoft インターネット エクスプローラーを含むほとんどの Web ブラウザーで、Microsoft Silverlight をインストールし、対応するプラグインを有効にする必要があります。 Microsoft Silverlight の詳細については、公式サイト の Microsoft Silverlight を参照してください。 プラグインを無効または削除する方法の詳細については、ブラウザーのドキュメントを参照してください。
この脆弱性の影響を受ける Microsoft Silverlight 5 のバージョンは何ですか?
Microsoft Silverlight ビルド 5.1.30214.0 は、このセキュリティ情報が最初にリリースされたときの Microsoft Silverlight の現在のビルドであり、この脆弱性に対処し、影響を受けません。 5.1.30214.0 より前の Microsoft Silverlight のビルドが影響を受ける。
現在システムにインストールされている Microsoft Silverlight のバージョンとビルドを把握操作方法。
お使いのコンピューターに Microsoft Silverlight が既にインストールされている場合は、[Microsoft Silverlight の入手] ページにアクセスできます。このページには、現在システムにインストールされている Microsoft Silverlight のバージョンとビルドが示されます。 または、現在のバージョンの Microsoft Internet エクスプローラーのアドオンの管理機能を使用して、システムに現在インストールされているバージョンとビルド情報を確認することもできます。
また、"%ProgramFiles%\Microsoft Silverlight" ディレクトリ (x86 Microsoft Windows システム) または "%ProgramFiles(x86)%\Microsoft Silverlight" ディレクトリ (x64 Microsoft Windows システム) にあるsllauncher.exeのバージョン番号を手動でチェックすることもできます。
さらに、Microsoft Windows では、現在インストールされているバージョンの Microsoft Silverlight のバージョンとビルド情報は、レジストリの [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:x86 Microsoft Windows システムのバージョン、または [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:x64 Microsoft Windows システムのバージョンにあります。
Apple Mac OS では、現在インストールされているバージョンの Microsoft Silverlight のバージョンとビルド情報は次のとおりです。
Microsoft Silverlight 5 のこのセキュリティ更新プログラムと共にインストールされるバージョンは 5.1.30214.0 です。 Microsoft Silverlight 5 のバージョン番号がこのバージョン番号以上の場合、システムは脆弱ではありません。
Microsoft Silverlight のバージョン操作方法アップグレードしますか?
Microsoft Silverlight 自動更新機能は、Microsoft Silverlight の最新バージョンの Microsoft Silverlight、Microsoft Silverlight 機能、およびセキュリティ機能を使用して、Microsoft Silverlight のインストールが最新の状態に保たれていることを確認するのに役立ちます。 Microsoft Silverlight 自動更新機能の詳細については、Microsoft Silverlight Updater を参照してください。 Microsoft Silverlight 自動更新機能を無効にした Windows ユーザーは、Microsoft Update に登録して最新バージョンの Microsoft Silverlight を入手できます。または、前のセクションの「影響を受けるソフトウェア」と「影響を受けるソフトウェア」の表のダウンロード リンクを使用して、最新バージョンの Microsoft Silverlight を手動でダウンロードできます。 エンタープライズ環境での Microsoft Silverlight の展開の詳細については、Silverlight Enterprise 展開ガイドを参照してください。
Web 閲覧攻撃のシナリオでは、攻撃者がこの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーを攻撃者の Web サイトに誘導する電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックするようにユーザーに誘導する必要があります。
既定では、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、および Windows Server 2012 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 このモードでは、この脆弱性が軽減されます。 インターネット エクスプローラーセキュリティ強化の構成の詳細については、このセキュリティ更新プログラムの FAQ セクションを参照してください。
対処方法
回避策とは、基になる脆弱性を修正しないが、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。
インターネット エクスプローラーで Microsoft Silverlight が一時的に実行されないようにする
Microsoft Silverlight とは
Microsoft Silverlight は、Web 用のメディア エクスペリエンスと豊富な対話型アプリケーションを構築するための、Microsoft .NET Framework のクロスブラウザーのクロスプラットフォーム実装です。 詳細については、Microsoft Silverlight の公式サイトを参照してください。
ASLR とは
アドレス空間レイアウトランダム化 (ASLR) は、システム起動時に実行可能イメージをランダムな場所に移動します。これにより、攻撃者が予測可能な場所でデータを利用するのを防ぐことができます。 コンポーネントが ASLR をサポートするには、読み込まれるすべてのコンポーネントも ASLR をサポートする必要があります。 たとえば、A.exeがB.dllとC.dllを使用する場合、3 つすべてが ASLR をサポートしている必要があります。 既定では、Windows Vista、 Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 はシステム DLL と EXE をランダム化しますが、独立系ソフトウェア ベンダー (ISV) によって作成された DLL と EXE は、/DYNAMICBA Standard Edition リンカー オプションを使用して ASLR をサポートすることを選択する必要があります。
ASLR では、ヒープメモリとスタック メモリもランダム化されます。
アプリケーションが Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2 でヒープを作成すると、ヒープ マネージャーはそのヒープをランダムな場所に作成し、ヒープ ベースのバッファー オーバーランの悪用が成功する可能性を減らします。 ヒープのランダム化は、Windows Vista 以降で実行されているすべてのアプリケーションに対して既定で有効になっています。
/DYNAMICBA Standard Edition、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2 にリンクされたプロセスでスレッドが開始されると、スレッドのスタックをランダムな場所に移動して、スタック ベースのバッファー オーバーランの悪用が成功する可能性を減らします。
DEP とは
DEP (データ実行防止) は、実行可能ファイルとして明示的にマークされていないメモリのページからのコードの実行を防ぐためのハードウェアおよびソフトウェア ソリューションです。 Windows XP SP2、Windows Server 2003 SP1、およびそれ以降のオペレーティング システムは、CPU がメモリのページに対する "実行なし" または "実行無効ビット" の適用をサポートしている場合にチェックします。
Windows XP SP2 より前は、メモリの実行保護定数が設定されていない状態で、割り当てられたメモリから悪用 ("コード") が実行される可能性がありました。 たとえば、PAGE_READWRITEを指定する VirtualAlloc() 関数を使用してメモリのページが割り当てられた場合でも、そのメモリ ページからコードを実行できます。 Windows XP SP2 および Windows Server 2003 SP1 以降では、CPU が実行無効化 (XD - Intel CPU) ビットまたは実行 (NX - AMD CPU) ビットをサポートしていない場合、メモリ保護PAGE_READWRITEメモリ保護を使用してメモリのページからコードを実行しようとすると、STATUS_ACCESS_VIOLATION (0xC0000005) アクセス違反の例外が生成されます。 ハードウェアによって適用される DEP のしくみの詳細については、メモリ保護テクノロジを参照してください。
DEP は、64 ビット バージョンの Windows では 64 ビット プロセスでは "常時オン" であり、無効にすることはできません。 Windows DEP ポリシーは、システム全体とプロセス単位の両方で管理でき、両方の方法について以下で説明します。 このブログ投稿は、Windows の 32 ビットまたは 64 ビット バージョンで実行されている 32 ビット プロセスに特に適用されます。
攻撃者がこの脆弱性を悪用する方法
Web ベースの攻撃シナリオでは、攻撃者は特別に細工された Silverlight コンテンツを含む Web サイトをホストして、この脆弱性を悪用しようとする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツを受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 攻撃者は、特別に細工された Web サイトをユーザーに強制的に訪問させる方法はありません。 代わりに、攻撃者はユーザーにアクションを実行するよう誘導する必要があります。 たとえば、攻撃者はユーザーをだまして、攻撃者のサイトに移動するリンクをクリックする可能性があります。
ユーザーが Web ブラウザー (インターネット エクスプローラーなど) を使用して悪意のある Silverlight コンテンツを含む Web サイトにアクセスすると、DEP/ASLR バイパスが実現される可能性があります。
Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 のインターネット エクスプローラーを実行しています。 この脆弱性は軽減されますか?
はい。 既定では、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、および Windows Server 2012 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 セキュリティ強化構成は、ユーザーまたは管理者が特別に細工された Web コンテンツをサーバー上にダウンロードして実行する可能性を減らすことができる、インターネット エクスプローラーの構成済み設定のグループです。 これは、インターネット エクスプローラー信頼済みサイト ゾーンに追加していない Web サイトの軽減要因です。
注: Windows の検出および展開ツールは Mac システムには適用されません。 ただし、Mac ユーザーは Microsoft Silverlight 自動更新機能を使用できます。これにより、最新バージョンの Microsoft Silverlight、Microsoft Silverlight 機能、およびセキュリティ機能を使用してシステムが最新の状態に保たれるのに役立ちます。 Microsoft Silverlight 自動更新機能の詳細については、Microsoft Silverlight Updater を参照してください。
セキュリティ更新プログラムの展開
Silverlight 5 for Mac (すべてのエディション)
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
セキュリティ更新プログラムのファイル名
Mac:\ Silverlight.dmg にインストールされている Microsoft Silverlight 5 の場合
\
Mac にインストールされている場合の Microsoft Silverlight 5 Developer Runtime の場合:\ silverlight_developer.dmg
再起動の要件
この更新プログラムでは、再起動は必要ありません。
削除情報
Finder を開き、システム ドライブを選択し、インターネット プラグイン - ライブラリフォルダーに移動し、Silverlight.Plugin ファイルを削除します。 (Silverlight プラグインを削除しないと、更新プログラムを削除できないことに注意してください)。
ファイル情報
Microsoft サポート技術情報の記事2932677を参照してください
インストールの確認
このセキュリティ情報の「現在インストールされている Microsoft Silverlight のバージョンとビルドを把握操作方法」という質問に関する更新プログラムに関する FAQ セクションを参照してください。
Silverlight 5 for Windows (サポートされているすべてのリリース)
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
セキュリティ更新プログラムのファイル名
Microsoft Silverlight 5 の場合、サポートされているすべての 32 ビット リリースの Microsoft Windows:\ にインストールsilverlight.exe
\
Microsoft Silverlight 5 Developer Runtime の場合、サポートされているすべての 32 ビット リリースの Microsoft Windows:\ silverlight_developer.exe
\
Microsoft Silverlight 5 の場合、サポートされているすべての 64 ビット リリースの Microsoft Windows:\ silverlight_x64.exe
\
Microsoft Silverlight 5 Developer Runtime の場合、サポートされているすべての 64 ビット リリースの Microsoft Windows:\ silverlight_developer_x64.exe
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.