• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS03-011 - 重大

Microsoft VM の欠陥により、システム侵害が発生する可能性がある (816093)

更新日: 2009 年 7 月 1 日

バージョン: 2.0

投稿日: 2003 年 4 月 9 日

まとめ

このセキュリティ情報を読む必要があるユーザー: Microsoft® Windows® を使用しているお客様。

脆弱性の影響: 攻撃者が選択したコードを実行できるようにします。

最大重大度評価: 重大

推奨事項: お客様は、以下で説明するように、Microsoft VM のビルド 3810 以降をインストールする必要があります

エンド ユーザー情報: このセキュリティ情報のエンド ユーザー バージョンは、 https で入手できます。

影響を受けるソフトウェア:

  • Microsoft 仮想マシン (Microsoft VM) のバージョンはビルド番号によって識別されます。これは、FAQ で説明されているように JVIEW ツールを使用して決定できます。 ビルド 5.0.3809 までの Microsoft VM のすべてのビルドは、これらの脆弱性の影響を受ける可能性があります。

一般情報

技術詳細

技術的な説明:

Microsoft VM は、Win32® オペレーティング環境用の仮想マシンです。 Microsoft VM は、ほとんどのバージョンの Windows に付属しています (完全な一覧は FAQ で入手できます)、ほとんどのバージョンのインターネット エクスプローラー。

以前にリリースされたすべての修正プログラムを含む現在の Microsoft VM は、新しく報告されたセキュリティ脆弱性の修正プログラムを含むように更新されました。 この新しいセキュリティの脆弱性は、Microsoft VM の ByteCode 検証ツール コンポーネントに影響し、Java アプレットの読み込み時に特定の悪意のあるコードが存在するために ByteCode 検証ツールが正しくチェックされないためです。 この新しいセキュリティの問題の攻撃ベクトルには、攻撃者が悪意のある Java アプレットを作成し、それを Web ページに挿入し、開くと脆弱性が悪用される可能性があります。 攻撃者はこの悪意のある Web ページを Web サイトでホストしたり、電子メールでユーザーに送信したりする可能性があります。

軽減要因:

  • Web ベースの攻撃ベクトルを介してこの脆弱性を悪用するには、攻撃者が制御する Web サイトにユーザーを誘導する必要があります。 この脆弱性自体は、ユーザーを Web サイトに強制する方法を提供しません。
  • 制限付きサイト ゾーン内で Java アプレットが無効になっています。 その結果、Outlook 2002、Outlook Express 6、Outlook 98、2000 など、制限付きサイト ゾーン内で HTML メールを開いたメール クライアントが、Outlook メール セキュリティ更新プログラム組み合わせて使用しても、メールベースの攻撃ベクトルによるリスクは発生しません。
  • この脆弱性はユーザーの特権のみを取得するため、管理者特権よりも低い操作を行うお客様は、この脆弱性によるリスクが低くなります。
  • 企業の IT 管理者は、ファイアウォールでアプリケーション フィルターを使用してモバイル コードを検査およびブロックすることで、ユーザーにもたらされるリスクを制限できます。

重大度の評価:
Microsoft VM 重大

上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。

脆弱性識別子:CAN-2003-0111

テスト済みバージョン:

Microsoft は、これらの脆弱性の影響を受けるかどうかを評価するために、VM ビルド 5.0.3802 以降をテストしました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

新しい VM ビルドによって排除されるセキュリティの脆弱性は何ですか?
この VM ビルドには、以前にリリースされたすべてのセキュリティ修正プログラムと、ByteCode 検証ツールに影響を与え、攻撃者がユーザーのシステムで自分の選択したコードを実行できる可能性がある、新しく報告されたセキュリティ脆弱性の修正が含まれています。

Microsoft VM とは
Microsoft 仮想マシン (Microsoft VM) を使用すると、Java プログラムを Windows プラットフォームで実行できます。 Microsoft VM は、ほとんどのバージョンの Windows およびインターネット エクスプローラーに含まれています。 ここで説明する脆弱性は、Microsoft VM を使用しているすべてのお客様に影響します。

Microsoft VM がシステムにインストールされているかどうかはわかりません。 どうすればわかりますか?
次のいずれかのバージョンの Windows を使用している場合は、Microsoft VM が確実にインストールされています。

  • Microsoft Windows 95
  • Microsoft Windows 98 および 98 Standard Edition
  • Microsoft Windows Millennium
  • Microsoft Windows NT 4.0 (Service Pack 1 以降)
  • Service Pack 4 より前の Microsoft Windows 2000 バージョン
  • Microsoft Windows XP

Microsoft VM は、インターネット エクスプローラーおよびその他の製品のいくつかのバージョンの一部として出荷されました。 インストールされているかどうかが不明な場合は、次の操作を行います。

  1. [スタート]、[実行] の順に選択します。
  2. 次のようにコマンド ボックスを開きます。
    • Windows 98 または Windows Millennium を実行している場合は、「command」と入力し (引用符を使用せずに)、Enter キーを押します。
    • Windows NT 4.0、Windows 2000、または Windows XP を実行している場合は、「cmd」と入力し (引用符は付けません)、Enter キーを押します。
      • 結果のコマンド ボックスに、「Jview」と入力します (引用符は使用しません)。 プログラムが実行されている場合は、Microsoft VM がインストールされています。 その名前のプログラムが存在しないことを示すエラーが表示された場合は、存在しません。

これは Microsoft VM の新しいバージョンですか?
はい。Microsoft VM ビルド 3810 は、Microsoft VM の新しいリリースです。

使用している Microsoft VM のバージョンを確認するにはどうすればよいですか?
使用しているビルド番号を確認する方法を次に示します。

  1. [スタート]、[実行] の順に選択します。
  2. Windows 95、98、または Me では、「command」と入力します (引用符は使用しません)。 Windows NT 4.0、2000、または XP では、「cmd」と入力します (引用符は使用しません)。 Enter キーを押します。
  3. 結果コマンド ボックスに「Jview」と入力し (引用符を除く)、Enter キーを押します。
  4. 結果の一覧の一番上の行に、x.yy.zzzz という形式のバージョン番号が表示されます。 最後の 4 桁はバージョン番号です。

バージョン番号を知ったら、どうすればよいですか?
次の表を使用して、適切なアクションを決定します。

バージョン番号が指定されている場合。 . . 次の手順を行う必要があります。 . .
3809 以下 Microsoft VM ビルド 3810 を適用します。 (セクションを参照してください。 パッチの可用性。)
3810 以上 何もしない。 これらの脆弱性から既に保護されているバージョンを使用しています。

この脆弱性の原因は何ですか?
この脆弱性は、ByteCode 検証ツールが最初に Microsoft VM によって読み込まれるときにコードをチェックする方法に欠陥があるために発生します。

ByteCode 検証ツールとは
ByteCode 検証ツールは、Microsoft VM 内の低レベルのプロセスであり、最初に Microsoft VM に読み込まれるコード (バイト コード) の有効性をチェックします。

Microsoft VM の ByteCode 検証ツールの問題
ByteCode 検証ツールがコードの読み込み時にチェックを実行する方法に欠陥があります。 特定の無効なバイト コードシーケンスに対して正しくチェックされないため、悪意のあるアプレットを使用して、この不足しているチェックを利用し、後続のセキュリティチェックをバイパスすることができます。

この脆弱性により、攻撃者は何を実行できるでしょうか。
この脆弱性により、攻撃者は悪意のある Java アプレットを構築し、ユーザーのコンピューターで攻撃者が選択したコードを実行する可能性があります。 攻撃者は、ユーザーと同じアクセス許可を持つコードしか実行できなかったため、ユーザーに加えられる制限も攻撃者にも影響します。

攻撃者がこの脆弱性を悪用する方法
攻撃者は、悪意のある Java アプレットを作成し、Web ページに挿入することで、この脆弱性を悪用しようとする可能性があります。 その後、Web ページを Web サイトでホストするか、電子メールでユーザーに送信できます。

メールベースの攻撃ベクトルはどのようなリスクをもたらすでしょうか。
HTML メールでアプレットを送信する攻撃者にとっての欠点は、最新の Microsoft メール クライアントでは、電子メール内の Java アプレットの実行が許可されないことです。 既定では、Outlook Express 6 と Outlook 2002 では、HTML メールに埋め込まれた Java アプレットが実行されなくなります。 同様に、Outlook 98 および 2000 では、Outlook 電子メール セキュリティ更新プログラムがインストールされている場合、Java アプレットが実行されなくなります。 攻撃者の利点は、特定のユーザーをターゲットにできることです。つまり、攻撃者はユーザーが Web サイトにアクセスするのを待つ必要はなく、アプレットを直接送信する可能性があります。

パッチは何をしますか?
この修正プログラムは、Java アプレットを読み込むときに ByteCode 検証ツールが正しいチェックを実行することを確認することで、この脆弱性を排除します。

回避 策

新しい Microsoft VM の評価またはテスト中に適用できる回避策はありますか?
新しい Microsoft VM の評価とテスト中に一時的に適用できる回避策がいくつかあります。

  • エンタープライズ環境では、アプリケーション フィルターをファイアウォールで使用して、モバイル コードの検査やブロックを行うことができます。
  • Outlook 2002 や Outlook Express 6 など、後の Microsoft 電子メール クライアントのいずれかが使用されている場合、電子メール攻撃ベクトルは既定で防止されます。 Outlook 98 や 2000 などの以前の Microsoft Outlook クライアントでは、Outlook 電子メール セキュリティ更新プログラムが使用されている場合、電子メール ベクターはブロックされます。
  • Java アプレットは、インターネット エクスプローラー インターネット ゾーンで実行できないようにすることができます。 Java アプレットを無効にすると、特定の Web ページを表示する機能に影響する可能性があることに注意してください。 これを行うには、次の手順を実行します。
    • [ツール] メニューの [インターネット オプション] をクリックし、[セキュリティ] タブをクリックし、[カスタム レベル] をクリックします。
    • [設定 ボックスで、[Java のアクセス許可] で [Java を無効にする] をクリックし、[OK] をクリックしてから、もう一度 [OK] をクリックします。

パッチの可用性

Microsoft Java 仮想マシンはサポートされなくなりました。 詳細については、Microsoft Java 仮想マシンと Microsoft Java 仮想マシンのサポートに関するページを参照してください。

その他の情報:

サポート:

  • マイクロソフト サポート技術情報の記事 816093 この問題について説明し、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります
  • テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2003 年 4 月 9 日): セキュリティ情報が作成されました。
  • V1.1 (2003 年 4 月 14 日): Windows NT 4.0 Service Pack の要件を修正しました
  • V1.2 (2003 年 6 月 27 日): Windows 2000 Service Pack 4 用に更新
  • V1.3 (2004 年 4 月 13 日): Windows 2000 Service Pack 4 の情報を更新しました。
  • V2.0 (2009 年 7 月 1 日): Microsoft Java 仮想マシンは Microsoft から配布できなくなったため、ダウンロード情報を削除しました。 詳細については、「パッチの可用性」を参照してください

2014-04-18T13:49:36Z-07:00</https にビルド:>