セキュリティ情報
Microsoft セキュリティ情報 MS02-067 - 中
電子メール ヘッダー処理の欠陥により、Outlook 2002 が失敗する可能性があります (331866)
公開日: 2002 年 12 月 4 日
バージョン: 1.0
投稿日: 2002 年 12 月 4 日
まとめ
このセキュリティ情報を読む必要があるユーザー: Microsoft® Outlook 2002 を使用しているお客様。
脆弱性の影響: サービス拒否
最大重大度評価: 中
推奨事項: お客様はパッチの適用を検討する必要があります。
影響を受けるソフトウェア:
- Microsoft Outlook 2002
エンド ユーザー情報: このセキュリティ情報のエンド ユーザー バージョンは、 https で入手できます。
一般情報
技術詳細
技術的な説明:
Microsoft Outlook では、ユーザーは電子メール、連絡先、タスク、予定を操作できます。 Outlook の電子メール処理には、電子メール メッセージの受信、表示、作成、編集、送信、整理が含まれます。 受信した電子メール メッセージを操作する場合、Outlook は電子メールのヘッダーに含まれる情報を処理します。この情報には、電子メールの送信先、送信先、およびメッセージの属性に関する情報が含まれます。
Outlook 2002 の電子メール ヘッダー情報の処理に脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、Outlook 2002 のユーザーに特別な形式の電子メールが送信され、特定の状況で Outlook クライアントが失敗する可能性があります。 Outlook 2002 クライアントは、電子メール サーバーで特別に形式が正しくない電子メール メッセージが再メインされている限り、引き続き失敗します。 電子メール メッセージは、電子メール管理者、または Outlook Web Access や Outlook Express などの別の電子メール クライアントを介してユーザーによって削除される可能性があります。その後、Outlook 2002 クライアントは再び正常に機能します。
軽減要因:
- MAPI プロトコルを使用して電子メール サーバーに接続している Outlook 2002 クライアントは影響を受けません。 POP3、IMAP、または WebDAV プロトコルを使用する Outlook 2002 クライアントのみが脆弱です。
- この脆弱性は Outlook 2000 または Outlook Express には影響しません。
- この脆弱性は、サービス拒否の脆弱性にすぎません。 攻撃者は、ユーザーの電子メールやシステムに何らかの方法でアクセスすることはできません。 この脆弱性を使用して、ユーザーの電子メールを読み取り、削除、作成、または変更することはできません。
- 攻撃者がこの脆弱性の悪用に成功した特別な形式の電子メールを送信できた場合、電子メール管理者またはユーザーが Outlook Web Access や Outlook Express などの別の電子メール クライアントを介して、不正な形式の電子メールを削除する可能性があります。 不正な形式の電子メールが削除されると、通常の操作が再開されます。
重大度の評価:
| Outlook 98 | なし |
| Outlook 2000 | なし |
| Outlook 2002 | 中 |
| Outlook Express | なし |
上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。
脆弱性識別子:CAN-2002-1255
テスト済みバージョン:
Microsoft は、Outlook 98、Outlook Express、Outlook 2000、Outlook 2002 をテストして、これらの脆弱性の影響を受けるかどうかを評価しました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。
よく寄せられる質問
この脆弱性の範囲は何ですか?
これはサービス拒否の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、ユーザーは Outlook 2002 を使用して電子メールにアクセスできなくなる可能性があります。
この脆弱性は、攻撃者がユーザーの電子メールまたはシステムに何らかの方法でアクセスするために使用することも、電子メール サーバーにリスクを与えることはありません。 攻撃が成功した唯一の影響は、ユーザーが電子メール サーバーにアクセスしようとしたときの Outlook 2002 の失敗です。 電子メール サーバーから特別に形式が正しくない電子メール メッセージを削除すると、Outlook クライアントは通常の操作に戻ります。
この脆弱性の原因は何ですか?
この脆弱性は、Outlook 2002 が電子メール ヘッダー情報を処理する方法に欠陥があるために発生します。 特定の種類の形式が正しくないヘッダーを含むメールを処理すると、Outlook 2002 が失敗する可能性があります。
Outlook とは
Microsoft Office の一部として出荷される Microsoft Outlook では、ユーザーは電子メール、連絡先、タスク、予定を操作できます。 Outlook を使用して電子メールを処理するには、電子メール メッセージを受信、表示、作成、編集、送信、整理する機能が含まれています。
電子メール ヘッダーとは
電子メール サーバーとクライアントには、受信と送信の電子メールを処理する方法を伝える情報が必要です。 この情報は、ヘッダー フィールドを介して電子メール内で提供されます。 電子メール ヘッダー フィールドに含まれる情報の種類には、送信者と受信者のアドレス、メールが送信された時刻、メールを受信したメール サーバーの名前などがあります。
Outlook 2002 で電子メール ヘッダーを処理する方法の問題
ここでの問題の脆弱性では、Outlook 2002 がヘッダー フィールドに含まれる可能性のある特定の種類の無効な情報を正しく処理しません。 Outlook 2002 クライアントが、アクセス プロトコルとして POP3、IMAP、または WebDAV を使用して、不正な形式の特別な情報を含む電子メール メッセージにアクセスしようとした場合、Outlook クライアントは失敗します。
POP3、IMAP、および WebDAV プロトコルとは
POP3 (RFC 1939 で定義)、IMAP (RFC 2060 で定義)、および WebDAV (RFC 2518 で定義) は、電子メール サーバーにアクセスしてメールを送受信するために使用できるプロトコルです。 電子メール サーバーがインターネット サービス プロバイダーのサーバー上にある場合は、POP3 または IMAP を使用して電子メールにアクセスしている可能性があります。 WebDAV は HTTP プロトコルの拡張機能のセットであり、Hotmail にアクセスするときに Outlook クライアントによって使用されます。
もう 1 つのプロトコル MAPI は、電子メール システム用に企業で一般的に使用されます。 ただし、MAPI を使用するシステムは、この脆弱性の影響を受けません。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ユーザーは Outlook 2002 を使用して電子メールにアクセスできない可能性があります。 Outlook 2002 クライアントは、通常は電子メール管理者が修正措置を実行するまで失敗し続ける可能性があります。
攻撃者がこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、Outlook 2002 を使用して POP3、IMAP、または WebDAV プロトコルを介して電子メール サーバーにアクセスするユーザーに、不正な形式の特別な形式の電子メール メッセージを送信することにより、この脆弱性を悪用しようとする可能性があります。 サーバーに接続してメールを処理すると、Outlook クライアントは失敗します。 ユーザーは、特に形式が正しくない電子メール メッセージが削除されるまで、電子メール サーバー上の電子メールにアクセスできません。
Outlook 2002 が失敗し続けるのは、電子メール サーバー上の電子メールの形式が特に正しくないメイン限りですか?
電子メール サーバーで特別に形式が正しくない電子メール メッセージが再メイン場合、Outlook 2002 クライアントはメッセージを検出するたびに失敗します。
これは POP3 メールの場合でも当てはまりますか? そのプロトコルでは、メールは読み取られた後にクライアント上に存在するため、なぜメールをサーバーから削除する必要がありますか?
Outlook は、POP3 サーバーからメールをダウンロードするときに、ダウンロード中に MAPI と呼ばれる別の形式に変換します。 この脆弱性は、この変換に影響を与える Outlook 2002 のコードにあります。 その結果、Outlook 2002 クライアントが攻撃者のメールを POP3 サーバーからダウンロードしようとした場合、POP3 から MAPI への変換は失敗し、メールはサーバーから削除されません。 その結果、POP3 の場合でも、通常の処理ではサーバーからメールを削除する必要があります
誰がこの脆弱性を悪用する可能性がありますか?
この脆弱性は、不正な形式の特別な電子メール メッセージを作成して送信できる攻撃者によって悪用される可能性があります
この脆弱性により、攻撃者はサーバー上の電子メールを読み取る可能性がありますか?
いいえ。 攻撃者がこの脆弱性を悪用できたとしても、電子メール メッセージは失われず、侵害されることもありません。
ユーザーは通常の操作を復元するために何をする必要がありますか?
通常の操作を復元するには、形式が正しくない特別な形式の電子メールを電子メール サーバーから削除する必要があります。 これには、2 つの方法があります。
- ユーザーは、Outlook Web Access や Outlook Express などの別の電子メール クライアントを使用して電子メールを削除したり、
- 電子メール管理者は、電子メールを削除できます。
Outlook 2000 は影響を受けるか
Outlook 2000 の Gold バージョンが影響を受けます。 ただし、 サービス リリース 1、 Service Pack 2、Service Pack 3 はすべてこの脆弱性を排除します。 Microsoft は通常、現在のサービス パックと以前のサービス パックに対してのみセキュリティ パッチをリリースします。これは、サービス パックがシステムのセキュリティを 維持するための最良の方法 であるためです。 たとえば、Outlook 2000 の場合、Outlook 2000 Gold がリリースされてから 3 年間にわたって配信されたサービス パックは、いくつかの重大なセキュリティ脆弱性を含む多数のバグを排除します。 これらのすべてを排除する最も簡単で最も効果的な方法 (この脆弱性を含む) は、サービス パックを最新の状態に保つ方法です。
Outlook Express の影響を受けるかどうか
いいえ。 Outlook Express はこの脆弱性の影響を受けません。
Outlook 98 は影響を受けるか
いいえ。 Outlook 98 は、この脆弱性の影響を受けません。
パッチは何をしますか?
この修正プログラムは、欠陥を修正し、上記の無効なヘッダー情報を含む電子メールを Outlook 2002 で正しく処理することで、この脆弱性を解決します。
パッチの可用性
このパッチのダウンロード場所
Microsoft Outlook 2002:
注: この更新プログラムとその他の Office の更新プログラムは https://office.microsoft.com/productupdates、
このパッチに関する追加情報
インストール プラットフォーム:
このパッチは、Office XP Service Pack 2 に適用できます。
今後のサービス パックに含める:
この問題の修正プログラムは、今後の Office XP 用 Service Pack に含まれる予定です。
再起動が必要: いいえ
修正プログラムをアンインストールできます: いいえ
置き換えられた修正プログラム: なし。
修正プログラムのインストールの確認:
個々のファイルを確認するには、サポート技術情報の記事331866で提供されているパッチ マニフェストを使用します。
注意事項:
なし
ローカライズ:
このパッチのローカライズされたバージョンは、「パッチの可用性」で説明されている場所で入手できます。
その他のセキュリティ パッチの取得:
その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。
- セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
- コンシューマー プラットフォームのパッチは、WindowsUpdate Web サイトから入手できます
その他の情報:
受信確認
Microsoft は、この問題を報告し、お客様を保護するために Microsoft と協力してくださったリチャード・ローリーに感謝 します。
サポート:
- マイクロソフト サポート技術情報の記事331866この問題について説明し、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります。
- テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。
セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責事項:
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン:
- V1.0 (2002 年 12 月 4 日): セキュリティ情報が作成されました。
2014-04-18T13:49:36Z-07:00</https にビルド:>