マイクロソフト セキュリティ情報 MS03-032
Internet Explorer 用の累積的な修正プログラム (822925)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Microsoft® Internet Explorer を使用しているお客様
脆弱性の影響 :
新たに確認された 2 つの脆弱性。この最も深刻な脆弱性は、ユーザーが悪質な Web サイトをブラウズする、または不正な HTML 形式の電子メール メッセージを開くと、攻撃者による任意のコードがユーザーのコンピュータで実行される可能性があります。
最大深刻度 :
緊急
推奨する対応策 :
システム管理者はこの累積的な更新プログラムを直ちにインストールして下さい。
影響を受けるソフトウェア :
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 6 for Windows Server 2003
詳細
問題
技術的な説明 :
マイクロソフトは最初にこのセキュリティ情報を 2003 年 8 月 20 日 (米国日付) にリリースしました。このセキュリティ情報のリリース後、マイクロソフトはこのセキュリティ情報で提供した更新プログラムが 「オブジェクト タグの脆弱性」 (CAN-2003-0532) を適切に修正しないとの報告を受けました。
また、マイクロソフトは、 具体的には ASP.NET Web ページをサービスする Web サーバーとして構成されている Windows XP システムに影響を及ぼす問題を確認しました。この問題により、Web サーバーに接続しているクライアントが Web サイトの Web ページの表示を試行すると、エラーを受け取ります。この問題は、Internet Information Services (IIS) 5.1 をインストールしており (既定ではインストールされません) かつ、ASP.NET ベースの Web ページをサービスするために .NET Framework バージョン 1.0 と構成されている Windows XP コンピュータのみに影響を及ぼします。そのほかの Windows のバージョンは影響を受けません。マイクロソフトはサポート技術情報 827641 を公開し、セキュリティ更新プログラムによる保護のレベルを保持しながら、この問題に対する回避策のステップを提供しました。
マイクロソフトはこれらの報告を調査しこれらの問題の更新プログラムとともに、新しいセキュリティ情報を公開しました。これらの問題は、セキュリティ情報 MS03-040 に含まれます。
これは累積的な更新プログラムで、Explorer 5.01、5.5 および 6 用に以前にリリースされたすべての更新プログラムを含みます。また、新たに確認された次の脆弱性を排除します。
- Internet Explorer のクロスドメイン セキュリティモデル (異なるドメインのウィンドウが情報を共有しないようにする) に関連する脆弱性。この問題により、マイ コンピュータ ゾーンでスクリプトが実行される可能性があります。この脆弱性が悪用されるには、この特定の脆弱性を悪用するようデザインされた Web ページを含む悪質な Web サイトをホストし、ユーザーにその Web サイトを訪問するよう誘導することが攻撃者にとっての必要条件となります。ユーザーが悪質な Web サイトを訪問すると、攻撃者は Internet Explorer がブラウザのキャッシュからファイルを取得するために使用するメソッドを悪用することにより、悪質なスクリプトを実行し、そのスクリプトが異なるドメインの情報にアクセスする可能性があります。最悪の場合、これにより、Web サイト オペレータが、ユーザーのコンピュータにマイ コンピュータ ゾーンのセキュリティ コンテキストで、悪質なスクリプト コードを読み込む可能性があります。さらに、この問題により、攻撃者は既にローカルコンピュータに存在する実行可能ファイルを実行する、またはコンピュータ上のファイルを表示する可能性があります。不正な URL を持つインターネットまたはイントラネットからのファイルが、マイコンピュータ ゾーンで実行されているブラウザのキャッシュに表示されるため、この問題が起こります。
- Internet Explorer が Web サーバーから返されたオブジェクトの種類を適切に確認しないため起こる脆弱性。攻撃者はこの脆弱性を悪用し、ユーザーのコンピュータで任意のコードを実行する可能性があります。ユーザーが攻撃者の Web サイトを訪問すると、ユーザーがそのほかの操作をしなくても、攻撃者により、この脆弱性が悪用される可能性があります。また、攻撃者は不正な HTML 形式の電子メールを作成し、この脆弱性を悪用する可能性があります。
また、この累積的な更新プログラムは、BR549.DLL ActiveX コントロールに Kill Bit を設定します。このコントロールは Windows 障害報告ツールのサポートを実装していましたが、これは現在 Internet Explorer ではサポートされていません。このコントロールに脆弱性が存在することが確認され、このコントロールをインストールしているお客様を保護するため、この累積的な更新プログラムは Kill Bit をこのコントロールに設定することにより、ユーザーのコンピュータにコントロールが再導入されることを防ぎます。この問題の詳細はマイクロソフト サポート技術情報 822925 で説明しています
これらの脆弱性に対する修正に加え、Internet Explorer が HTML ファイルをレンダリングする方法に変更を行いました。この変更は、ブラウザまたは Outlook Express を異常終了させる可能性がある Web ページを Internet Explorer がレンダリングする方法に存在する問題を解決します。Internet Explorer は input type タグを適切にレンダリングしません。ユーザーが攻撃者の Web サイトを訪問すると、単にその Web サイトを表示することにより、攻撃者が脆弱性を悪用する可能性があります。さらに、攻撃者は、不正な HTML 形式の電子メールを作成し、この電子メールが開かれる、またはプレビュー表示されると Outlook Express が異常終了する可能性があります。
この累積的な更新プログラムには、マイクロソフト セキュリティ情報 MS03-020 で修正された「オブジェクト タグ」の脆弱性 (CAN-2003-0344) に対する更新プログラムへの変更も含まれます。この変更は特定の言語における攻撃を防ぐための更新プログラムの動作を修正します。
これらの問題が悪用されるには、不正な HTML 形式の電子メールを作成し、それをユーザーに送ることが攻撃者にとっての必要条件となります。または、これらの脆弱性を悪用するための Web ページを悪質な Web サイトにホストし、次にその Web サイトへ訪問するようユーザーを誘導することが必要条件となります。
マイクロソフト セキュリティ情報 MS03-004、MS03-015および MS03-020 で提供された以前の Internet Explorer 用の累積的な更新プログラム同様、この更新プログラムをインストールする環境に HTML ヘルプの更新が適用されていないと、window.showHelp( ) が機能しません。マイクロソフト サポート技術情報 811630 から、更新された HTML ヘルプ コントロールをインストールした場合、この累積的な更新プログラムを適用した後でも、HTML ヘルプ機能を使用することができます。
問題を緩和する要素 :
- Windows Server 2003 上の Internet Explorer は、既定でセキュリティ強化の構成で実行されます。Internet Explorer のこの既定の構成により、これらの攻撃は阻止されます。Internet Explorer のセキュリティ強化の構成が無効にされている場合、これらの脆弱性の悪用を防ぐ防御策が削除されます。
- Web 形式の攻撃のシナリオの場合、これらの脆弱性を悪用する Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は HTML 形式の電子メールの攻撃の方法以外には、ユーザーを悪質な Web サイトに強制的に訪問させることはできません。その代わり、攻撃者は通常、自分のサイトにユーザーを移動させるリンクをクリックさせることによって、ユーザーをそのようなサイトに誘導することが必要条件となります。
- コンピュータで実行されるコードはログインしたユーザーの権限でのみ実行される可能性があります。
深刻度 :
| Internet Explorer 5.01 SP3 | Internet Explorer 5.5 SP2 | Internet Explorer 6 | Internet Explorer 6 SP1 | Internet Explorer 6 for Windows Server 2003 | |
|---|---|---|---|---|---|
| BR549.DLL のバッファオーバーラン | 緊急 | 緊急 | 緊急 | 緊急 | 警告 |
| マイコンピュータゾーンでのブラウザのキャッシュのスクリプトの実行 | 重要 | 重要 | 重要 | 重要 | 警告 |
| オブジェクトタグの脆弱性 | 緊急 | 緊急 | 緊急 | 緊急 | 警告 |
| この累積的な更新プログラムに含まれるすべての問題の総合的な深刻度 | 緊急 | 緊急 | 緊急 | 緊急 | 警告 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
脆弱性識別番号 :
- BR549.DLL のバッファ オーバーラン : CAN-2003-0530
- マイ コンピュータ ゾーンでのブラウザのキャッシュのスクリプトの実行 : CAN-2003-0531
- オブジェクト タグの脆弱性 : CAN-2003-0532
テストしたバージョン :
マイクロソフトは Internet Explorer バージョン 5.01 Service Pack 3、Internet Explorer 5.01 Service Pack 4、Internet Explorer 5.5 Service Pack 2、Internet Explorer 6 および Internet Explorer 6 Service Pack 1 のテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。Windows オペレーティング システム コンポーネントのライフサイクルに関する詳細は http://support.microsoft.com/gp/lifeselect をご覧下さい。
よく寄せられる質問
マイクロソフトはなぜこのセキュリティ情報を再リリースしたのですか?
このセキュリティ情報をリリースした後、マイクロソフトはこのセキュリティ情報で提供された更新プログラムが「オブジェクト タグの脆弱性」(CAN-2003-0532) を適切に修正しないとの報告を受けました。
また、マイクロソフトは、具体的には ASP.NET Web ページをサービスする Web サーバーとして構成されている Windows XP システムに影響を及ぼす問題を確認しました。この問題により、Web サーバーに接続しているクライアントが Web サイトの Web ページの表示を試行すると、エラーを受け取ります。この問題は、Internet Information Services (IIS) 5.1 をインストールしており (既定ではインストールされません) かつ、ASP.NET ベースの Web ページをサービスするために .NET Framework バージョン 1.0 が構成されている Windows XP コンピュータのみに影響を及ぼします。そのほかの Windows のバージョンは影響を受けません。マイクロソフトはサポート技術情報 827641 を公開し、セキュリティ更新プログラムによる保護のレベルを保持しながら、この問題に対する回避策のステップを提供しました。
マイクロソフトはこれらの報告を調査し、これらの問題を修正する更新版更新プログラムとともに、新しいセキュリティ情報を公開しました。これらの問題に対する修正は、セキュリティ情報 MS03-040 で提供されている更新プログラムに含まれます。
この累積的な更新プログラムはどのような脆弱性を排除しますか?
これは累積的な更新プログラムで Internet Explorer 用に以前リリースされたすべての更新プログラムの機能を含みます。さらに、この累積的な更新プログラムは新たに報告された次の脆弱性を排除します。
- 攻撃者がユーザーのコンピュータで任意のコードを実行する可能性のある脆弱性
- 攻撃者がユーザーのコンピュータでスクリプト コードを実行する可能性のある脆弱性
この累積的な更新プログラムはそのほかのセキュリティ上の変更を含みますか?
はい。この累積的な更新プログラムは BR549.DLL ActiveX コントロールに Kill Bit を設定します。このコントロールは Windows 障害報告ツールのサポートを実装していましたが、これは現在 Internet Explorer ではサポートされていません。このコントロールにセキュリティ上の脆弱性が存在することが確認されました。このコントロールをインストールしているお客様を保護するため、この累積的な更新プログラムは Kill Bit をこのコントロールに設定することにより、ユーザーのコンピュータにコントロールが再導入されることを防ぎます。この問題の詳細はマイクロソフトサポート技術情報 822925 で説明しています。さらに、この累積的な更新プログラムにはマイクロソフトセキュリティ情報 MS03-020 で修正された「オブジェクト タグ」の脆弱性 (CAN-2003-0344) に対する更新プログラムへの変更も含まれます。この変更は特定の言語における攻撃を防ぐための更新プログラムのビヘイビアを修正します。
Windows Server 2003 上で Internet Explorer を実行していますが、これはこの脆弱性を緩和しますか?
はい。既定で Windows Server 2003 上の Internet Explorer は セキュリティ強化の構成と呼ばれる制限されたモードで実行されます。
Internet Explorer のセキュリティ強化の構成とは何ですか?
Internet Explorer のセキュリティ強化の構成は、ユーザーまたは管理者が悪質な Web コンテンツをサーバーにダウンロードし、実行する危険性を低減する Internet Explorer のあらかじめ構成された設定の集合体です。Internet Explorer のセキュリティ強化の構成は、インターネット オプションの [セキュリティ] タブ、[詳細設定] タブなどの多くのセキュリティ設定を変更することにより、このような危険性を低減します。主な設定の変更に、以下のようなものがあります。 ・
- インターネットゾーンのセキュリティ レベルを [高] に設定。この設定により、スクリプト、ActiveX コントロール、Microsoft 仮想マシン (Microsoft VM)、HTML コンテンツおよびファイル ダウンロードが無効にされます。 ・
- イントラネットサイトの自動検出を無効に設定。この設定では、すべてのイントラネットの Web サイトおよびローカル イントラネット ゾーンに明示的に一覧されていない汎用名前付け規則 (UNC) のすべてのパスがインターネット ゾーンに割り当てられます。 ・
- オンデマンドのインストールおよびマイクロソフト以外のブラウザ拡張を無効に設定。この設定は、Web ページが自動的にコンポーネントをインストールするのを防ぎ、マイクロソフト以外の拡張が実行されないようにします。 ・
- マルチメディアコンテンツを無効に設定。この設定により、音楽、アニメーション、ビデオ クリップが実行されなくなります。
Internet Explorer のセキュリティ強化の構成が無効にされている場合、これらの脆弱性の悪用を防ぐ防御策が削除されます。Internet Explorer のセキュリティ強化の構成に関する詳細は、以下のサイトの Internet Explorer のセキュリティ強化の構成の管理ガイドをご覧ください。 http://www.microsoft.com/japan/windowsserver2003/developers/iesecconfig.mspx
Windows Server 2003 で、その他に Internet Explorer のセキュリティ強化の構成が無効にされる構成はありますか?
はい、あります。Windows Server 2003 をターミナルサーバーとして展開しているシステム管理者が、ターミナル サーバーのユーザーが制限されていないモードで Internet Explorer を使用できるようにセキュリティ強化の構成を無効に設定している可能性があります。
CAN-2003-0531 : マイコンピュータゾーンでのブラウザのキャッシュのスクリプトの実行
この脆弱性でどのようなことが起こる可能性がありますか?
Internet Explorer に存在する問題により、ブラウザがブラウザのキャッシュ内のファイルの存在をチェックする時、悪意のある Web サイト オペレータが、不正なコードを挿入し、別のインターネット ドメインまたはユーザーのローカル コンピュータ上の情報がアクセスされる可能性があります。最悪の場合、この脆弱性により、Web サイト オペレータがマイ コンピュータ ゾーンのセキュリティ コンテキストで、ユーザーのシステムに悪質なスクリプト コードを読み込む可能性があります。さらに、この問題により、攻撃者がローカルコンピュータに既に存在する実行可能ファイルを実行する、またはコンピュータ上のファイルを表示する可能性があります。しかし、攻撃者は実行可能ファイルにパラメータを渡すことはできません。
何が原因で起こりますか?
ブラウザがブラウザのキャッシュ内のローカル ファイルの存在をチェックする時、Internet Explorer が実装するクロスドメイン セキュリティ モデルを無視することができるため、この脆弱性が起こります。
「Internet Explorer のクロスドメインセキュリティモデル」とはどのような意味ですか?
ブラウザの主要なセキュリティ機能の 1 つは、同じ Web サイトからのウィンドウが互いに対話できるようにする一方、異なる Web サイトの管理によるブラウザ ウィンドウが互いに干渉しない、または互いのデータにアクセスしないようにすることです。協力するブラウザウィンドウと協力しないブラウザ ウィンドウを区別するために、「ドメイン」 という概念が作られました。ドメインとはセキュリティの境界です。同じドメイン内で開かれているウィンドウは互いに対話することができますが、別のドメインからのウィンドウは互いに対話できません。「クロスドメイン セキュリティモデル」 とは別のドメインからのウィンドウが互いに干渉しないようにするセキュリティ アーキテクチャの一部です。
ドメインの最も簡単な例は Web サイトに関連しています。たとえば、ユーザーが www.microsoft.com を訪問し、www.microsoft.com/security へのウィンドウを開くとします。2 つのウィンドウは同じドメインである www.microsoft.com に属しているため、互いに対話することができます。しかし、ユーザーが www.microsoft.com を訪問し、別の Web サイトへのウィンドウを開く場合、クロスドメイン セキュリティ モデルにより、2 つのウィンドウは互いに保護されます。この概念はさらに進みます。たとえば、ユーザーのローカルコンピュータのファイル システムもまたドメインです。このため、たとえば www.microsoft.com がウィンドウを開き、ユーザーにそのユーザーのハードディスクのファイルを表示することもできます。しかし、ユーザーのローカル ファイル システムはその Web サイトとは別のドメインに存在するため、クロスドメインセキュリティ モデルは、その Web サイトが表示されているファイルを読み取らないようにする必要があります。
Internet Explorer のドメインのセキュリティポリシーは Internet Explorer のインターネット セキュリティ ゾーンの設定を使用する、またはグループ ポリシーを使用することにより、構成することができます。
Internet Explorer のセキュリティゾーンとは何ですか?
Internet Explorer のセキュリティ ゾーンとは、オンライン コンテンツをカテゴリ、またはその信頼度に基づいたゾーンに分類するシステムです。特定の Web ドメインは、各ドメインのコンテンツがどの程度信頼されているかにより、ゾーンに割り当てられます。そしてゾーンは Web コンテンツの権限をそのゾーンのポリシーに基づき制限します。既定で、ほとんどのインターネットドメインは、スクリプトやそのほかのアクティブなコードがローカル マシンのリソースにアクセスすることを防ぐ既定のポリシーを持つ、インターネット ゾーンの一部として取り扱われます。一方、ローカルコンピュータ ゾーンはさらに制限の少ないゾーンで、コンテンツがローカル システムのコンテンツへのアクセスや操作を行うことができます。既定で、ローカル コンピュータに保存されているファイルはローカルコンピュータ ゾーンで実行されます。
Internet Explorer がクロスドメインセキュリティを計算する方法の何が問題になっていますか?
Internet Explorer は、ある Web ページが別のセキュリティ ゾーンのリソースへのアクセスをリクエストする時にセキュリティを評価します。ブラウザのキャッシュ内のローカルファイルの存在をチェックする時、Internet Explorer が元のドメインをチェックする方法に問題が存在します。
この脆弱性により、攻撃者は何ができますか?
攻撃者はこの脆弱性を悪用し、Web ページを作成し、これにより攻撃者はドメインを越えてデータにアクセスする可能性があります。攻撃者が完全なパスおよびファイル名を知っている場合、ユーザーまたはオペレーティングシステムにより使用されていないローカル システムのファイルが読み取られる可能性があります。また、ユーザーが別の Web サイトと共有することを選択したデータがアクセスされる可能性もあります。攻撃者はユーザーのローカルファイル システム上の実行可能ファイルを実行する可能性もあります。
攻撃者はどのようにしてこの脆弱性を悪用しますか?
攻撃者は悪質な Web ページを作成し、次にユーザーにその Web ページを訪問するよう誘導することにより、この脆弱性を悪用する可能性があります。ユーザーがそのような Web ページを訪問すると、攻撃者はマイ コンピュータゾーンのコンテキストでスクリプトを実行する可能性があります。また、ユーザーにより表示されると、ユーザーのローカル コンピュータに既に存在する実行可能ファイルを起動する Web ページを作成する可能性もあります。しかし、攻撃者は実行可能ファイルにパラメータを渡すことはできません。
更新プログラムは何を修正しますか?
この累積的な更新プログラムは、Internet Explorer がローカルキャッシュにファイルが存在するかどうかをチェックする時、適切にファイル名を検証するようにして、この脆弱性を修正します。
CAN-2003-0532 : オブジェクトタグの脆弱性
この脆弱性でどのようなことが起こる可能性がありますか?
ユーザーが、攻撃者が制御する Web サイトを訪問する、または HTML 形式の電子メール内のリクエストを受け取ると、Internet Explorer が特定の HTTP リクエストを処理する方法に存在する問題により、任意のコードがログオンしたユーザーのコンテキストで実行される可能性があります。
何が原因で起こりますか?
Internet Explorer が Web ページのオブジェクト タグを処理する時に、不正な HTTP 応答を適切にチェックしないため、この脆弱性が起こります。
Internet Explorer がオブジェクトタグを処理する方法の何が問題になっていますか?
Internet Explorer がオブジェクトの種類を確認する方法に問題が存在します。Internet Explorer は HTTP 応答で適切なパラメータ チェックを行いません。この応答は特定のファイルの種類をポイントできますが、次にオブジェクトがスクリプトされ、実行されます。これにより、攻撃者はユーザーのコンピュータで任意のコードを実行する可能性があります。
この脆弱性により、攻撃者は何ができますか?
この脆弱性により、攻撃者は Internet Explorer に攻撃者の選択したコードを実行させる可能性があります。これにより、攻撃者は現在ログインしているユーザーのセキュリティ コンテキストでユーザーのコンピュータで任意の操作を行う可能性があります。
攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
攻撃者は不正な Web ページをホストすることにより、この脆弱性を悪用する可能性があります。ユーザーがこのような Web ページを訪問すると、Internet Explorer が異常終了し、ユーザーのコンテキストで任意のコードが実行される可能性があります。または、攻撃者はこの脆弱性を悪用する HTML 形式の電子メールを作成する可能性もあります。
更新プログラムは何を修正しますか?
この累積的な更新プログラムは Internet Explorer が HTTP 応答を受け取る時、適切なチェックを行うようにして、この脆弱性を解決します。
回避策 :
更新プログラムが再リリースされるまで、この脆弱性が悪用されることを防ぐために使用できる回避策はありますか?
はい、あります。しかし、これらの回避策は、根本的な脆弱性を修正するのではなく、単に攻撃の道筋を阻止する手助けをするため、一時的な手段と考えなければなりません。マイクロソフトは、更新プログラムが利用可能になり次第、可能な限り早期に更新プログラムをインストールすることを推奨します。
次のセクションで攻撃からお客様のコンピュータを保護する手助けとなる情報を提供します。
インターネットおよびイントラネットゾーンで ActiveX コントロールを実行する前にダイアログを表示する :
インターネット セキュリティ ゾーンの設定を変更し、ActiveX コンポーネントが実行される前にダイアログが表示されるようにすると、この脆弱性に対する保護の手助けとなります。これを行うためには、次のステップを実行して下さい。
- Internet Explorer でメニューから [ツール] - [インターネット オプション] をクリックします。
- [セキュリティ] タブをクリックします。
- [インターネット] のアイコンをハイライトし、[レベルのカスタマイズ] ボタンをクリックします。
- [ActiveX コントロールとプラグイン] のセクションまで一覧をスクロールします。
- [ActiveX コントロールとプラグインの実行] で [ダイアログを表示する] をクリックします。
- [OK] をクリックします。
- [イントラネット] のアイコンをハイライトし、[レベルのカスタマイズ] ボタンをクリックします。
- [ActiveX コントロールとプラグイン] のセクションまで一覧をスクロールします。
- [ActiveX コントロールとプラグインの実行] で [ダイアログを表示する] をクリックします。
- [OK] をクリックします。次に再度 [OK] をクリックし、Internet Explorer に戻ります。
Web サイトを信頼される Web サイトのみに制限する
インターネットおよびイントラネット ゾーンで ActiveX が実行される前にダイアログが表示されるようにした後、信頼する Web サイトを Internet Explorer の [信頼済み] サイトに追加することができます。これにより、信頼されない Web サイトでのこの攻撃からの保護を行いながら、現在使用しているのとまったく同様に、信頼する Web サイトを引き続き使用することができます。
これを行うためには、次のステップを実行して下さい。
- Internet Explorer で [ツール] を選択し、次に [インターネット オプション] を選択します。[セキュリティ] タブをクリックします。
- [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
- 暗号化されたチャネルを必要としない Web サイトを追加したい場合、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] のチェック ボックスをクリックし、チェックを外します。
- [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。ゾーンに追加したい各 Web サイトについて、これを繰り返します。
- [OK] を 2 回クリックし、変更を適用し、Internet Explorer に戻ります。コンピュータで悪質な操作をしないと信頼できる Web サイトを追加します。特に追加すべき Web サイトは http://update.microsoft.com/microsoftupdate/ です。これは更新プログラムをホストする Web サイトで、更新プログラムをインストールするためには ActiveX コントロールの使用を必要とします。
ActiveX コンポーネントを実行する前にダイアログを表示すると、何か別の影響はありますか?
はい、あります。インターネット上の多くの Web サイトは ActiveX を使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはバンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。
ActiveX コントロールを実行する前にダイアログを表示することはすべてのインターネットおよびイントラネット サイトのグローバルな設定です。この回避策を有効にすると、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックして ActiveX コンポーネントを実行して下さい。これらのすべての Web サイトで、ダイアログを表示したくない場合、「Web サイトを信頼される Web サイトのみに制限する」回避策を使用することができます。
更新プログラム
この問題に対する修正は、MS03-040 以降の累積的な更新プログラムに含まれました。最新の累積的な更新プログラムは、Microsoft Update または、こちらの Web サイトから入手できます。
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
- Microsoft Update 利用の手順
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx
更新プログラムに関する追加情報
対象プラットフォーム :
この累積的な更新プログラムは次を実行しているコンピュータにインストールすることができます。
- Service Pack 3 または Service Pack 4 がインストールされた Windows 2000 システム上で実行されている Internet Explorer 5.01
- Internet Explorer 5.5 用の累積的な更新プログラムは Internet Explorer 5.5 Service Pack 2 を実行しているコンピュータにインストールすることができます。
- Internet Explorer 6 用の累積的な更新プログラムは、Internet Explorer 6 または Internet Explorer 6 Service Pack 1 を実行しているコンピュータにインストールすることができます。
この修正を含む予定のサービスパック :
これらの問題に対する更新プログラムは Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 に含まれる予定です。
再起動の必要性 :
あり - 再起動後、管理者ログオンが必要となるのは以下の環境です。
- Microsoft Windows 2000 および Microsoft Windows NT 4.0 で実行している Internet Explorer 5.01
- Microsoft Windows 2000 で実行している Internet Explorer 5.5
更新プログラムのアンインストール :
可
更新プログラムに含まれる過去の修正 :
この累積的な更新プログラムは、マイクロソフト セキュリティ情報 MS03-020 で提供された累積的な更新プログラムを含みます。
更新プログラムが正しくインストールされたかどうか確認する方法 :
- この累積的な更新プログラムがコンピュータにインストールされたことを確認するためには、Internet Explorer を起動し、[ヘルプ] をクリックし、Internet Explorer の [バージョン情報] をクリックします。[更新バージョン] のフィールドに Q822925 が表示されていることを確認して下さい。
注 : この方法は Windows Server 2003 または Windows XP 64-Bit Edition バージョン 2003 では使用できません。この理由は更新バージョンのフィールドはこれらのオペレーティングシステム用のパッケージにより、更新されないためです。 - 各ファイルを確認するためには、マイクロソフト サポート技術情報 822925 のファイル欄を参照して下さい。
警告 :
- 更新された HTML ヘルプコントロールをマイクロソフト サポート技術情報 811630 からインストールしていない場合、この更新を適用した後、いくつかの HTML ヘルプ機能が使用できません。この機能を復元するためには、更新された HTML ヘルプ コントロール (811630) をダウンロードする必要があります。また、HTML ヘルプの最新バージョンがインストールされると、ヘルプ ファイルが showHelp メソッドで開かれると、次の制限が起こることに注意して下さい。
- Web ページまたは ヘルプ (chm) ファイルを開くためには、サポートされたプロトコルのみが showHelp と使用できます。
- HTML ヘルプによりサポートされるショートカット機能は、ヘルプファイルが showHelp で開かれると、無効になります。これにより、同じ CHM ファイルが、ヘルプ ファイルをダブルクリックすることにより手動でユーザーにより開かれる、または HTMLHELP( ) API を使用するローカル システム上のアプリケーションを介し開かれる場合、ショートカット (英語情報) 機能は影響を受けません。
- Windows XP 上で ASP.NET 1.0 をお使いの環境に本更新プログラムを適用した場合、 「サーバー アプリケーションは現在使用できません」 または "Server Application Unavailable" が表示され Web アプリケーションが正常に実行できない場合があります。 詳細は、サポート技術情報 827641 をご覧ください。
- 本更新プログラムを適用した場合、 相対 URL を使用したスクリプトで HTTP 404 エラーが発生する場合があります。 詳細は、サポート技術情報 827667 をご覧ください。
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
- 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS03-032)
http://www.microsoft.com/technet/security/bulletin/ms03-032.mspx - サポート技術情報 (KB) 文書番号 : 822925
[MS03-032] Internet Explorer 用の累積的な修正プログラム (2003 年 8 月)
謝辞 :
この問題を連絡し、顧客の保護に協力して下さった次の方々に対し、マイクロソフトは深い謝意を表します。
- マイクロソフト セキュリティ情報 MS03-020 の「オブジェクト タグ」の脆弱性 (CAN-2003-0344) の言語に特定の変種、および「マイ コンピュータ ゾーンでのブラウザのキャッシュのスクリプトの実行」の問題を報告して下さった LAC の新井 悠 氏
- 「オブジェクト タグ」の脆弱性を報告して下さった eEye Digital Security
- BR549.DLL のバッファ オーバーランを報告してくださった KPMG UK の Greg Jones 氏
更新履歴 :
- 2003/08/21: このセキュリティ情報ページを公開しました。
- 2003/08/22: この問題に対するマイクロソフト サポート技術情報 822925 日本語版を公開しました。
- 2003/08/25: 「警告」欄に 827641 の情報を追記しました。
- 2003/08/26: このセキュリティ情報ページを更新し、Windows XP 用の更新プログラムの ASP.NET に関連する問題についての情報を追加しました。
- 2003/08/29: 「更新プログラムに関する追加情報」 の欄に再起動についての詳細な情報を追加しました。
- 2003/09/09: このセキュリティ情報ページを更新し、このセキュリティ情報で提供された更新プログラムが 「オブジェクト タグの脆弱性」 (CAN-2003-0532) を適切に修正しないという報告についての情報を追加しました。
- 2003/10/04: このセキュリティ情報の問題に対する修正が MS03-040 に含まれることを追加しました。
- 2003/10/10: 「警告」 欄に 827667 の情報を追記しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。