マイクロソフト セキュリティ情報 MS03-014
Outlook Express 用の累積的な修正プログラム (330994)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Outlook Express をインストールされているお客様
脆弱性の影響 :
このセキュリティ情報は、攻撃が選択したコードがユーザーのコンピュータで実行される可能性のある脆弱性を解決します。この脆弱性が悪用されるのは、攻撃者が Web サイトでホストされている、または HTML 形式の電子メール メッセージに含まれる不正な MHTML URL を Windows に開かせることが必要条件となります。
最大深刻度 :
緊急
推奨する対応策 :
お客様はできる限り早期にこの累積的な更新プログラムをインストールして下さい。
影響を受けるソフトウェア :
- Microsoft Outlook Express 5.5
- Microsoft Outlook Express 6
詳細
問題
技術的な説明 :
MHTML とは MIME Encapsulation of Aggregate HTML の意味です。MHTML は電子メールのメッセージ本文内の HTML コンテンツを送るために使用される MIME (Multipurpose Internet Mail Extensions) 構造を定義するインターネット標準に規定されているものです。Windows の MHTML URL ハンドラは Outlook Express の一部であり、ローカル コンピュータで使用される URL の種類を提供します。この URL の種類 (MHTML://) により、MHTML 文書は Windows エクスプローラを使用して、コマンド ラインから [スタート]、[ファイル名を指定して実行] を選択することにより起動できます。または Internet Explorer 内から起動できます。
MHTML URL ハンドラに脆弱性が存在し、これによりテキストとして表示されるファイルが開かれ、また Internet Explorer 内のページの一部として表示される可能性があります。このため、ローカル コンピュータに保存されているテキスト ファイルを参照し、そのファイルを HTML として表示する URL を作成できる可能性があります。そのテキスト ファイルがスクリプトを含む場合、ファイルがアクセスされた時にそのスクリプトが実行される可能性があります。そのファイルはローカル コンピュータに存在するため、ローカル コンピュータのセキュリティ ゾーンで表示される可能性があります。ローカル コンピュータ ゾーン内で開かれるファイルはそのほかのセキュリティ ゾーンで開かれるファイルよりも少ない制限を受けます。
この方法を悪用し、攻撃者は URL を作成し、Web サイトにホストする、または電子メールを介してユーザーに送りつける可能性があります。Web ベースのシナリオでは、ユーザーが Web サイトにホストされている URL をクリックすると、攻撃者はそのローカル コンピュータに既に存在するファイルの読み取りまたは起動ができる可能性があります。電子メールによる攻撃の場合、ユーザーが既定の構成で Outlook Express 6 または Outlook 2002 を使用している場合、および Outlook 電子メール セキュリティ アップデートを適用している Outlook 98 または Outlook 2000 を使用している場合、攻撃は自動化されず、ユーザーが電子メールで送信された URL をクリックしない限り攻撃は行われません。しかし、ユーザーが既定の構成の Outlook Express 6 または Outlook 2002 を使用していない場合、および Outlook 電子メール セキュリティ アップデート を適用している Outlook 98 または Outlook 2000 を使用していない場合、攻撃はユーザーが電子メールに含まれる URL をクリックしなくても、自動的に行われる可能性があります。Web ベースおよび電子メール ベースの両方の攻撃の場合で、ユーザーの権限に関する制限は攻撃者のスクリプトの権限を制限します。
マイクロソフト セキュリティ情報 MS03-004 で提供された更新 (Internet Explorer 用の累積的な更新プログラム) は、攻撃者がユーザーのコンピュータにファイルを読み込ませることを阻止する手助けとなり、また実行可能ファイルへパラメータが渡されることを防ぎます。つまり、攻撃者がプログラムの場所を知っている場合に限り、コンピュータに既に存在するプログラムが起動される可能性がありますが、そのプログラムを実行するためにパラメータが渡されることはありません。
MHTML は電子メール内の HTML コンテンツ交換の標準であり、このため MHTML URL ハンドラ機能が Outlook Express に実装されています。Internet Explorer もまた MHTML コンテンツを表示することができますが、MHTML 機能は別途 Internet Explorer には実装されていません。Internet Explorer は単に Outlook Express を使用して MHTML コンテンツを表示します。
問題を緩和する要素 :
- Web ベースのシナリオについて、攻撃者はこの脆弱性を悪用するための Web ページを含む Web サイトをホストし、ユーザーをその Web サイトに誘導することが必要条件となります。攻撃者はユーザーを Web サイトに強制的に訪問させることはできません。攻撃者は、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせることにより、ユーザーをその Web サイトに誘導することが必要となります。
- HTML 形式の電子メール ベースの攻撃のシナリオは、既定の構成の Outlook Express 6 および Outlook 2002 により阻止されます。また、Outlook 電子メール セキュリティ アップデートをインストールしている Outlook 98 および 2000 も、このシナリオを阻止します。
- この脆弱性により攻撃者が取得する可能性のある権限はユーザーの権限と同じです。システムでほとんど権限を持たないように構成されているアカウントを持つユーザーは、管理者権限で操作を行うユーザーよりも、この脆弱性による危険にさらされる可能性は低くなります。
- MS03-004 で提供された Internet Explorer 用の累積的な更新プログラムがインストールされている場合、攻撃者がユーザーのコンピュータにファイルを配置するための既知の方法は阻止されます。
- ローカル システムに既に存在する実行可能ファイルは、攻撃者がその実行可能ファイルへのパスを知らない限り、呼び出されることはありません。
深刻度 :
| Outlook Express 5.5 | 緊急 |
| Outlook Express 6 | 緊急 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
脆弱性識別番号 :
CAN-2002-0980
テストしたバージョン :
マイクロソフトは Internet Explorer 5.01 Service Pack 3、Internet Explorer 5.5 Service Pack 2、Internet Explorer 6 および Internet Explorer 6 Service Pack 1 そして Outlook Express 5.5 Service Pack 2、Outlook Express 6 および Outlook Express 6 Service Pack 1についてテストし、この脆弱性による影響を評価しました。Internet Explorer 5.01 Service Pack 3 以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。Windows オペレーティング システム コンポーネントのライフサイクルに関する詳細は http://support.microsoft.com/gp/lifeselect をご覧下さい。
よく寄せられる質問
1 番目の脆弱性でどのようなことが起こる可能性がありますか?
この脆弱性により、攻撃者はユーザーのコンピュータ上のファイルを読み取る、またはプログラムをローカル コンピュータ ゾーンで起動する可能性があります。
攻撃者が MHTML 文書を含む悪質な Web サイトをホストし、ユーザーをその Web サイトに誘導する場合、この脆弱性を悪用し、そのユーザーのコンピュータに既に存在するファイルを読み取る、または実行可能ファイルを起動する可能性があります。
マイクロソフト セキュリティ情報 MS03-004 で、攻撃者がユーザーのローカル コンピュータにファイルを読み込ませる可能性のある脆弱性について説明されています。マイクロソフト セキュリティ情報 MS03-004 で説明された更新プログラムを適用している場合、このセキュリティ情報で説明している新しい脆弱性が影響を及ぼす可能性は著しく低減されます。この場合、攻撃者が選択したプログラムはローカル コンピュータに配置されることはありません。攻撃者がプログラムを呼び出すには、そのプログラムは既にコンピュータに存在していることが必要条件となります。また、攻撃者は実行可能プログラムにパラメータを渡すことはできません。
MHTML とは何ですか?
MHTML とは MIME Encapsulation of Aggregate HTML 文書の意味で、メッセージの本文内の HTML コンテンツを送るために使用される MIME (Multipurpose Internet Mail Extensions) 構造を定義するインターネット標準に定義されているものです。MHTML URL ハンドラ は電子メール メッセージの HTML コンテンツをパッケージするために使用されます。これは HTML 文書に関連する複数ファイルをカプセル化するための一般的なフォーマットです。
MHTML は現在の HTML ページの 「スナップショット」 を取り、それを電子メールで宛先に送信するために、または Internet Explorer のページのオフライン表示用に保管します。たとえば、Internet Explorer では、[ファイル] の [名前を付けて保存] オプションを使用し、[名前を付けて保存] のドロップ ダウンから [Web アーカイブ、単一のファイル] オプションを選択することにより、オフライン表示用に Web ページを単一のファイルとして保存することができます。その Web ページは MHTL 形式で単一のファイルとして保存されます。マイクロソフト サポート技術情報 221787 でこの機能の詳細を説明しています。
HTML とは何ですか?
HTML とは Hyper Text Markup Language の意味で、様々なプラットフォームで移動可能な文書を作成するために使用されます。この重要な機能の 1 つは画像、サウンド ファイルなどの別のリソースから構成される文書を表示できることです。
MHTML フォーマットの実装の何が問題になっていますか?
MHTML URL ハンドラはすべてのファイルの種類を HTML ファイルのように取り扱うことができます。たとえば、.txt ファイルが MHTML プロトコルを使用して開かれる場合、そのファイルは .HTML ファイルのように表示されます。これにより脆弱性が起こります。この理由は、よく 「安全なファイルの種類」 とみなされるテキスト ファイルなどのいくつかのファイルおよび Web ページがローカル コンピュータ ゾーンで開かれる可能性があるためです。このようなファイルが実行可能なスクリプトを含み、そのスクリプトが実行される場合、Web サイトの権限ではなく、ローカル コンピュータ ゾーンに関連する権限で操作が行われます。
インターネットセキュリティゾーンについて言及されていましたが、インターネットセキュリティゾーンとは何ですか?
Internet Explorer のセキュリティ ゾーンとは、オンライン コンテンツをカテゴリ、またはその信頼度に基づいたゾーンに分類するシステムです。特定の Web ドメインは、各ドメインのコンテンツがどの程度信頼されているかにより、ゾーンに割り当てられます。そしてゾーンは Web コンテンツの権限をそのゾーンの設定に基づき制限します。
既定で、ほとんどのインターネット ドメインはインターネット ゾーンの一部として取り扱われます。インターネット ゾーンにはスクリプトやそのほかのアクティブなコードがローカル コンピュータ上のリソースへのアクセスを取得することを防ぐように構成される設定および制限があります。
ローカルコンピュータゾーンとは何ですか?
ローカル コンピュータ ゾーンとは、ユーザーのコンピュータに存在するコンテンツ用に使用されるゾーンです。このゾーンの制限はさらに少なく、スクリプトおよびアクティブなコードにローカル コンピュータ上のコンテンツへのアクセスや操作が許可されています。既定で、ローカル コンピュータに保存されているファイルはローカル コンピュータ ゾーンで実行されます。
URL ハンドラとは何ですか?
URL ハンドラにより、アプリケーションは、Web ページにより呼び出されると、そのアプリケーションを自動的に起動する新しい URL の種類を登録することができます。たとえば、Outlook 2002 がコンピュータにインストールされている場合、これはカスタム URL ハンドラとして "outlook://" を登録します。次にこの URL を Internet Explorer に入力する、[ファイル名を指定して実行] ボックスに入力する、またはハイパーリンクをクリックすることにより、Outlook を起動することができます。MHTML の場合、使用される URL は “mhtml://” です。
何が原因で起こりますか?
MHTML 形式でエンコードされるページを表示する Outlook Express のコンポーネントに問題が存在します。この問題により、MHTML 以外のファイルが HTML ページのように表示される可能性があるため、この脆弱性が起こります。この問題により、コンテンツがテキストであるすべてのファイル (.txt ファイルやスクリプトを含むファイルなど) が表示可能となります。
この脆弱性により、攻撃者は何ができますか?
攻撃者は MHTML URL ハンドラを悪用し、ユーザーのコンピュータに既に存在するファイルを HTML ページとして表示する可能性があります。攻撃者が悪質なスクリプトを含む .txt ファイルをユーザーのコンピュータに配置できる場合、攻撃者は MHTML URL ハンドラを悪用してそのファイルを html ファイルとして開く可能性があります。これにより、スクリプトが実行されます。ローカル コンピュータ ゾーンで実行されているスクリプトは通常、インターネット ゾーンで実行されるスクリプト (通常、このようなスクリプトは Web サイトからダウンロードされ、呼び出されています) よりも信頼されています。
しかし、マイクロソフト セキュリティ情報 MS03-004 で提供された累積的な更新プログラムが適用されている場合、攻撃者はユーザーのローカル コンピュータにファイルを配置することはできません。これにより、攻撃者がローカル コンピュータに既に存在しているファイルを単に実行できることが制限されます。また、攻撃者は実行可能ファイルにパラメータを渡すこともできません。
どのようにして攻撃者はこの脆弱性を悪用する可能性がありますか?
攻撃者は MHTML 形式を使用する URL を作成し、これをホストする Web サイトにユーザーを誘導する (最も高い可能性のある方法は電子メール メッセージで URL を送ることです) ことにより、この脆弱性を悪用する可能性があります。攻撃者が、悪質なスクリプトを含むファイルが存在するユーザーのローカル コンピュータでの場所を推測できる場合、攻撃者は HTML ページでそのスクリプトを実行する可能性があります。
この修正は Web ページが表示される方法に関する問題を解決するようですが、なぜこのセキュリティ情報のタイトルは「Outlook Express 用の累積的な更新プログラム」なのですか?
MHTML は電子メール メッセージの本文内の HTML コンテンツと HTML コンテンツ自体から参照されるリソースを送るためのインターネット標準としてデザインされました。このため、MHTML 機能が Outlook Express に実装されています。Internet Explorer が MHTML ページを表示する必要がある時には、実際には Outlook Express 内の MHTML 機能を使用します。MHTML URL ハンドラは別途 Internet Explorer には実装されていません。
この脆弱性は Outlook Express に存在するため、この累積的な更新プログラムはここで説明されている脆弱性に対する修正と Outlook Express 用に以前リリースされたすべての修正を含みます。
それではこの脆弱性は特定の Web ページが表示される方法に関連していても、Internet Explorer は影響を受けないのですか?
Internet Explorer は影響を受けません。Internet Explorer は MHTML ファイル自体を表示しません。MHTML は電子メール内の HTML 交換のための標準としてデザインされたため、MHTML URL ハンドラは Outlook Express に実装されていますが、Internet Explorer には実装されていません。
Outlook Express を使用して電子メールの読み取りを行っていませんが、それでもこの累積的な更新プログラムを適用する必要がありますか?
はい。MHTML ファイルを処理する URL ハンドラは実際に Outlook Express に存在するため、電子メールを読み取るために Outlook Express を使用しているかどうかに関わらず、この累積的な更新プログラムをインストールする必要があります。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは MHTML 形式が .MHT または .MHTML (MHTML 形式のファイルに関連するファイルの種類) 以外のファイルの種類を読み取ることを禁止することにより、この脆弱性を排除します。
更新プログラム
この問題に対する修正は、MS04-013 以降の累積的な更新プログラムに含まれました。最新の累積的な更新プログラムは、Microsoft Update または、こちらの Web サイトから入手できます。
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
- Microsoft Outlook Express
http://www.microsoft.com/downloads/results.aspx?freetext=330994&productID=&categoryId=&period=&sortCriteria=popularity&nr=20&DisplayLang=ja
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
- Microsoft Update 利用の手順
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx
更新プログラムに関する追加情報
対象プラットフォーム :
この累積的な更新プログラムは次のシステムにインストールすることができます。
- Outlook Express 5.5 Service Pack 2 用の更新プログラムは Internet Explorer 5.5 Service Pack 2 を実行しているWindows 98 SE、Windows Millennium Edition、 Windows NT 4.0 Service Pack 6a、Windows NT 4.0 Terminal Server Edition Service Pack 6、 Windows 2000 Service Pack 2 および Windows 2000 Service Pack 3 にインストールすることができます。また、Windows 2000 Service Pack 3 をインストールした Windows 2000 システムで Internet Explorer 5.01 を実行している場合に適用することができます。
- Outlook Express 6 用の更新プログラムは Windows XP (Windows XP Service Pack 1 または、 Internet Explorer 6 Service Pack 1 を適用していない環境) を実行しているシステムにインストールすることができます。
- Outlook Express 6 Service Pack 1 用の更新プログラムは Internet Explorer 6 Service Pack 1 を実行しているWindows 98 SE、Windows Millennium Edition、Windows NT 4.0 Service Pack 6a、Windows NT 4.0 Terminal Server Edition Service Pack 6、 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows XP、 Windows XP Service Pack 1にインストールすることができます。
この修正を含む予定のサービスパック :
この問題に対する更新プログラムは Internet Explorer 6 Service Pack 2 に含まれる予定です。
再起動の必要性 :
なし
更新プログラムのアンインストール :
可
これは Outlook Express 用の累積的な更新プログラムであり、マイクロソフト セキュリティ情報 MS02-058 で説明された更新プログラムを含みます。
更新プログラムが正しくインストールされたかどうか確認する方法 :
- この累積的な更新プログラムがコンピュータにインストールされたことを確認するためには、Internet Explorer を起動し、[ヘルプ] を選択し、Internet Explorer の [バージョン情報] をクリックします。[更新バージョン] のフィールドに Q330994 が表示されていることを確認して下さい。
- 各ファイルを確認するためには、マイクロソフト サポート技術情報 330994 の更新プログラム欄を使用して下さい。
警告 :
なし
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
- 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS03-014)
http://www.microsoft.com/technet/security/bulletin/ms03-014.mspx - サポート技術情報 (KB) 文書番号 : 330994
[MS03-014] Outlook Express 用の累積的な修正プログラム (2003 年 4 月)
更新履歴 :
- 2003/4/24: このセキュリティ情報ページを公開しました。
- 2003/5/2: この問題に対するマイクロソフト サポート技術情報 330994 日本語版を公開しました。
- 2003/6/16: 「絵でみるセキュリティ情報」 へのリンクを追加しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。