• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS03-048 - 重大

インターネット エクスプローラーの累積的なセキュリティ更新プログラム (824145)

公開日: 2003 年 11 月 11 日 |更新日: 2004 年 4 月 9 日

バージョン: 1.4

発行日: 2003 年 11 月 11 日
更新日: 2004 年 4 月 9 日
バージョン: 1.4

まとめ

このドキュメントを読む必要があるユーザー: Microsoft® インターネット エクスプローラー®がインストールされているお客様

脆弱性の影響: リモートでコードが実行される

最大重大度評価: 重大

推奨事項: お客様は、このセキュリティ更新プログラムを直ちにインストールする必要があります。

セキュリティ更新プログラムの置き換え: この更新プログラムは、Microsoft セキュリティ情報 MS03-040 で提供されている更新プログラムを置き換えます。これはそれ自体が累積的な更新プログラムです。

注意事項: なし

テスト済みのソフトウェアとセキュリティ更新プログラムのダウンロード場所:

影響を受けるソフトウェア

  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows NT® Workstation 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6
  • Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4
  • Microsoft Windows XP、Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP 64 ビット エディション
  • Microsoft Windows XP 64 ビット エディション バージョン 2003
  • Microsoft Windows Server® 2003
  • Microsoft Windows Server 2003、64 ビット エディション

テスト済みの Microsoft Windows コンポーネント:

影響を受けるコンポーネント:

上記のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンはサポートされなくなり、影響を受ける場合と影響を受ける可能性があります。

一般情報

技術的な詳細

技術的な説明:

これは、インターネット エクスプローラー 5.01、インターネット エクスプローラー 5.5、およびインターネット エクスプローラー 6.0 用に以前にリリースされたすべての更新プログラムの機能を含む累積的な更新プログラムです。 さらに、次の 5 つの新しく検出された脆弱性が排除されます。

  • インターネット エクスプローラーのクロス doメイン セキュリティ モデルに関連する 3 つの脆弱性。異なる doメイン のウィンドウが情報を共有しないようにします。 これらの脆弱性により、マイ コンピューター ゾーンでスクリプトが実行される可能性があります。 これらの脆弱性の 1 つを悪用するには、攻撃者は、特定の脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトをホストし、その Web ページを表示するようにユーザーを誘導する必要があります。 攻撃者は、これらの脆弱性の 1 つを悪用し、HTML 電子メール メッセージを表示するようにユーザーを説得するように設計された HTML 電子メール メッセージを作成する可能性もあります。 ユーザーが悪意のある Web サイトにアクセスした後、または悪意のある HTML 電子メール メッセージを表示した後、これらの脆弱性の 1 つを悪用した攻撃者は、他の Web サイトからの情報にアクセスし、ユーザーのシステム上のファイルにアクセスし、ユーザーのシステム上で任意のコードを実行する可能性があります。 このコードは、現在ログオンしているユーザーのセキュリティ コンテキストで実行されます。
  • インターネット エクスプローラー内の XML オブジェクトにゾーン情報が渡される方法を含む脆弱性。 この脆弱性により、攻撃者はユーザーのシステム上のローカル ファイルを読み取る可能性があります。 この脆弱性を悪用するには、攻撃者は特定の脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトをホストし、その Web ページを表示するようにユーザーを誘導する必要があります。 攻撃者は、この脆弱性を悪用し、ユーザーに HTML 電子メール メッセージの表示を勧める HTML 電子メール メッセージを作成する可能性もあります。 ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある HTML 電子メール メッセージを表示したりすると、HTML ファイルをダウンロードするように求められます。 ユーザーがこの HTML ファイルのダウンロードを受け入れた場合、攻撃者はユーザーのシステム上の既知の場所にあるローカル ファイルを読み取る可能性があります。
  • インターネット エクスプローラーで動的 HTML (DHTML) イベント中にドラッグ アンド ドロップ操作を実行する脆弱性。 この脆弱性により、ユーザーがリンクをクリックした場合、ファイルがユーザーのシステム上のターゲットの場所に保存される可能性があります。 このダウンロードをユーザーが承認することを要求するダイアログ ボックスはありません。 これらの脆弱性の 1 つを悪用するには、攻撃者は特別に細工されたリンクを持つ Web ページを含む悪意のある Web サイトをホストする必要があります。 その後、攻撃者はそのリンクをクリックするようにユーザーを説得する必要があります。 攻撃者は、特別に細工されたリンクを含む HTML 電子メール メッセージを作成し、ユーザーに HTML 電子メール メッセージを表示するよう誘導し、悪意のあるリンクをクリックする可能性もあります。 ユーザーがこのリンクをクリックした場合、攻撃者が選択したコードがユーザーのコンピューター上のターゲットの場所に保存される可能性があります。

以前のインターネット エクスプローラーの累積的な更新プログラムと同様に、セキュリティ情報 MS03-004、MS03-015MS03-020MS03-032、MS03-040 でリリースされた累積的な更新プログラムでは、HTML ヘルプ更新プログラムを適用していない場合、window.showHelp( ) コントロールが機能しなくなります。 サポート技術情報の記事 811630 から更新された HTML ヘルプ コントロールをインストールした場合でも、この更新プログラムを適用した後も HTML ヘルプ機能を使用できます。

軽減要因:

すべての脆弱性には、次の 3 つの一般的な軽減要因があります。

  • 既定では、Windows Server 2003 のインターネット エクスプローラーはセキュリティ強化構成実行されます。 このインターネット エクスプローラーの既定の構成により、この攻撃の自動悪用がブロックされます。 インターネット エクスプローラーセキュリティ強化構成が無効になっている場合、これらの脆弱性が自動的に悪用されるのを防ぐ保護が解除されます。
  • Web ベースの攻撃シナリオでは、攻撃者はこれらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする必要があります。 攻撃者は、ユーザーに悪意のある Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は通常、攻撃者のサイトに移動するリンクをクリックするように誘導することによって、それらをそこに誘導する必要があります。
  • 既定では、Outlook Express 6.0、Outlook 2002、および Outlook 2003 は、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 さらに、Outlook 98 および 2000 は、Outlook 電子メール セキュリティ更新プログラムがインストールされている場合、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 HTML 電子メール ベクターからの攻撃のリスクは、次の条件が満たされた場合に大幅に軽減できます。
    • Microsoft セキュリティ情報 MS03-040 に含まれている修正プログラムを適用しました。
    • インターネット エクスプローラー 6 以降を使用しています。
    • 既定の構成では、Microsoft Outlook 電子メール セキュリティ更新プログラムまたは Microsoft Outlook Express 6.0 以降、または Microsoft Outlook 2000 SP2 以降を使用しています。
  • 攻撃者がこれらの脆弱性を悪用した場合、ユーザーと同じ特権のみが取得されます。 システムに対する特権が少なく構成されているアカウントを持つユーザーは、管理特権を使用して操作するユーザーよりもリスクが低くなります。

さらに、XML オブジェクトの脆弱性には、次の 2 つの軽減要因があります。

  • この脆弱性を悪用しようとした Web ページでは、HTML ファイルのダウンロードを求めるプロンプトがユーザーに表示されます。 攻撃者は、ユーザーがこのプロンプトを受け入れた場合にのみ、ユーザーのシステム上のファイルにアクセスすることができました。
  • 攻撃者は、ユーザーのシステム上の既知の場所にあるファイルにのみアクセスできます。

重大度の評価:

インターネット エクスプローラー 5.01 SP2、SP3、SP4 インターネット エクスプローラー 5.5 SP2 インターネット エクスプローラー 6 およびインターネット エクスプローラー 6 SP1 (Windows Server 2003 より前のすべてのバージョン) Windows Server 2003 用インターネット エクスプローラー 6 SP1 Windows Server 2003 用インターネット エクスプローラー 6 SP1 (64 ビット)
クロス Doメイン の脆弱性 重大 重大 重大
XML オブジェクトの脆弱性 影響を受けず
ドラッグ アンド ドロップ操作の脆弱性 重要' 重要 重要
この更新プログラムに含まれるすべての問題の重大度の集計 重大 重大 重大

上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。

脆弱性識別子:

  • ExecCommand Cross Doメイン の脆弱性: CAN-2003-0814
  • 関数ポインターのオーバーライドのクロス Doメイン の脆弱性: CAN-2003-0815
  • スクリプト URL のクロス Doメイン 脆弱性: CAN-2003-0816
  • XML オブジェクトの脆弱性: CAN-2003-0817
  • ドラッグ アンド ドロップ操作の脆弱性: : CAN-2003-0823

テスト済みバージョン:

Microsoft は、インターネット エクスプローラー 5.01 Service Pack 2、Internet エクスプローラー 5.01 Service Pack 3、Internet エクスプローラー 5.01 Service Pack 4、Internet エクスプローラー 5.5 Service Pack 2、Internet エクスプローラー 6.0、Internet エクスプローラー 6.0 Service Pack 1 をテストして、これらの脆弱性の影響を受けるかどうかを評価しました. 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

対処方法

Microsoft では、すべての脆弱性に適用される次の回避策をテストしました。 これらの回避策は既知の攻撃ベクトルをブロックするのに役立ちますが、基になる脆弱性は修正されません。 回避策により、場合によっては機能が低下する場合があります。このような場合は、機能の低下を以下に示します。

インターネット ゾーンとイントラネット ゾーンで ActiveX コントロールとアクティブ スクリプトを実行する前にプロンプトを表示する

ActiveX コントロールを実行する前に、インターネット セキュリティ ゾーンの設定を変更してプロンプトを表示することで、これらの脆弱性から保護することができます。 これを行うには、次の手順を実行します。

  1. [インターネット エクスプローラー] の [ツール] メニューの [インターネット オプション] をクリックします
  2. [セキュリティ] タブをクリックします。
  3. [インターネット] をクリックし、[カスタム レベル] をクリックします
  4. 設定の [ActiveX コントロールとプラグイン] セクションの [ActiveX コントロールとプラグインの実行] で、[プロンプト] をクリックします
  5. [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] をクリックし、[OK] をクリックします
  6. [ローカル イントラネット] をクリックし、[カスタム レベル] をクリックします
  7. 設定の [ActiveX コントロールとプラグイン] セクションの [ActiveX コントロールとプラグインの実行] で、[プロンプト] をクリックします
  8. [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] をクリックします
  9. [OK] を 2 回クリックして、インターネット エクスプローラーに戻ります。

回避策の影響:

ActiveX コントロールを実行する前にプロンプトを表示するには、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、ActiveX を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、または口座明細書を提供できます。 ActiveX コントロールを実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 各プロンプトで、アクセスしているサイトが信頼できる場合は、[はい] をクリックして ActiveX コントロールを実行します。 これらのサイトすべてに対してプロンプトを表示しない場合は、「信頼できる Web サイトのみに Web サイトを制限する」回避策を使用します。

Web サイトを信頼済み Web サイトのみに制限する

インターネット エクスプローラーを設定して、インターネット ゾーンとイントラネット ゾーンで ActiveX を実行する前にプロンプトを要求すると、信頼できるサイトをインターネット エクスプローラーの信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃からユーザーを保護しながら、現在とまったく同じように信頼された Web サイトを引き続き使用できます。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。

これを行うには、次の手順を実行します。

  1. インターネット エクスプローラーで、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  2. [Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします。
  3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
  4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします
  5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
  6. [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。 コンピューターで悪意のあるアクションを実行しないように信頼できるサイトを追加します。 特に追加したいのは、"*.windowsupdate.microsoft.com" (引用符なし) です。 これは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールを使用する必要があります。

回避策の影響:

信頼済みサイト ゾーンに存在するように構成していないサイトでは、ActiveX コントロールを正しく機能させる必要がある場合、その機能が損なわれます。 信頼済みサイト ゾーンにサイトを追加すると、正しく機能するために必要な ActiveX コントロールをダウンロードできるようになります。 ただし、信頼できる Web サイトのみを信頼済みサイト ゾーンに追加する必要があります。

Outlook 2000 SP1 以前を使用している場合は、Outlook 電子メール セキュリティ更新プログラムをインストールする

既定では、Outlook 電子メール セキュリティ更新プログラムにより、Outlook 98 と 2000 は制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 既定では、Outlook Express 6.0、Outlook 2002、および Outlook 2003 は、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 これらの製品のいずれかを使用するお客様は、ユーザーが電子メール メッセージ内の悪意のあるリンクをクリックしない限り、この脆弱性を悪用しようとする電子メールによる攻撃によるリスクが軽減されます。

Outlook 2002 または Outlook Express 6.0 SP1 以降を使用している場合は、HTML 電子メール攻撃ベクトルから身を守るために、プレーンテキスト形式で電子メール メッセージを読みます

Service Pack 1 以降を適用した Microsoft Outlook 2002 ユーザーと、Service Pack 1 以降を適用した Outlook Express 6.0 ユーザーは、デジタル署名されていないすべての電子メール メッセージまたは暗号化されていない電子メール メッセージをプレーン テキストでのみ表示できる機能を有効にすることができます。

デジタル署名された電子メール メッセージと暗号化された電子メール メッセージは、設定の影響を受けず、元の形式で読み取ることができます。 Outlook 2002 でこの設定を有効にする方法については、次のサポート技術情報の記事を参照してください。

https:

Outlook Express 6.0 でこの設定を有効にする方法については、次のサポート技術情報の記事を参照してください。

</https:>https:

回避策の影響:

プレーンテキスト形式で表示される電子メールには、画像、特殊なフォント、アニメーション、またはその他のリッチ コンテンツを含めることはできません。 さらに、

  • 変更がプレビュー ウィンドウに適用され、メッセージが開きます。
  • 画像は添付ファイルになり、メッセージの内容が失われるのを防ぎます。
  • メッセージは引き続きリッチ テキスト形式またはストア内の HTML 形式であるため、メッセージがリッチ テキスト形式またはメール ストアの HTML 形式のままであるため、オブジェクト モデル (カスタム コード ソリューション) が予期せず動作する可能性があります。

よく寄せられる質問

インターネット エクスプローラー 5.01 Service Pack 3 セキュリティ更新プログラムのファイルのバージョン番号が、MS03-040説明されているインターネット エクスプローラー 5.01 Service Pack 3 セキュリティ更新プログラムのファイルのバージョン番号よりも小さいのはなぜですか?
このリリースより前は、Internet エクスプローラー 5.01 Service Pack 3 と Internet エクスプローラー 5.01 Service Pack 4 Security 更新が、両方のプラットフォームにインストールされている単一のパッケージに組み合わされていました。 このリリースでは、インターネット エクスプローラー 5.01 Service Pack 3 の [バージョン情報] ヘルプ画面の問題を修正するために分離されました。 この分離の一環として、このパッケージ内のファイルのバージョン番号が下げられました。

このリリースのインターネット エクスプローラー 5.01 Service Pack 3 セキュリティ更新プログラムには、ファイルのバージョン番号が低くても、このリリースまでの修正プログラムと含まれるすべての修正プログラムが含まれていますか?
はい。 インターネット エクスプローラー Service Pack 3 セキュリティ更新プログラムのファイル バージョンは、このプラットフォームの以前のセキュリティ 更新よりも低い場合でも、累積的であり、このセキュリティ更新プログラム (MS03-048) を含む過去のセキュリティ 更新のすべての修正プログラムが含まれています。

Windows 98 および Windows 98 Second Edition で更新プログラムを利用できるのはなぜですか?
Windows 98 および Windows 98 Second Edition は無料または延長サポートの対象ではなくなりましたが、2004 年 1 月 16 日と 2003 年 12 月 31 日までは、これらのオペレーティング システムでは、インターネット エクスプローラー 6 Service Pack 1 およびインターネット エクスプローラー 5.5 Service Pack 2 がサポートされています。 詳細については、インターネット エクスプローラー FAQWindows 98 および Windows 98 Standard Edition FAQ、または Microsoft サポート ライフサイクル サイトを参照してください。

この更新プログラムによって排除される脆弱性は何ですか?
これは、インターネット エクスプローラー用に以前にリリースされたすべての更新プログラムの機能を組み込んだ累積的な更新プログラムです。 さらに、この更新プログラムは、次の新しく報告された脆弱性を排除します。

  • 攻撃者がユーザーのシステム上で任意のコードを実行する可能性がある 3 つの脆弱性。
  • 攻撃者がユーザーのシステム上のローカル ファイルと Cookie にアクセスする可能性がある脆弱性。
  • 攻撃者がユーザーのシステムに任意のコードを保存する可能性がある脆弱性。

更新プログラムには、その他のセキュリティ変更が含まれていますか?
はい。 この更新プログラムでは、次の ActiveX コントロールのキル ビット も設定されます。

説明 File Name ビット
Windows トラブル シューター Tshoot.ocx 4B106874-DD36-11D0-8B44-00A024DD9EFF
Symantec® RuFSI レジストリ情報クラス Rufsi.dll 69DEAF94-AF66-11D3-BEC0-00105AA9B6AE
RAV オンライン スキャナー Ravonine.cab D32C3BAD-5213-49BD-A7D5-E6DE6C0D8249

これらのコントロールにはセキュリティの脆弱性が含まれていることが判明しており、インターネット エクスプローラーではサポートされなくなりました。 このコントロールがインストールされているお客様を保護するために、この更新プログラムは、このコントロールのキル ビットを設定することで、コントロールが実行されたり、ユーザーのシステムに再導入されたりするのを防ぐのに役立ちます。 サード パーティコントロールでキルビットが設定されている場合、設定は所有者のアクセス許可で行われています。 サポート技術情報の記事Q240797の手順に従って、任意のコントロールに対してキル ビットを手動で設定できます。

Windows Server 2003 でインターネット エクスプローラーを実行しています。 これにより、これらの脆弱性は軽減されますか?
はい。 既定では、Windows Server 2003 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。

インターネット エクスプローラーセキュリティ強化構成とは
インターネット エクスプローラーセキュリティ強化構成は、構成済みのインターネット エクスプローラー設定のグループであり、ユーザーまたは管理者が悪意のある Web コンテンツをサーバーにダウンロードして実行する可能性を減らします。 インターネット エクスプローラーセキュリティ強化の構成では、セキュリティに関連するさまざまな設定 ([インターネット オプション] ダイアログ ボックスの [セキュリティ] タブや [詳細設定] タブなど) を変更することで、このリスクが軽減されます。 重要な変更の一部を次に示します。

  • インターネット ゾーンのセキュリティ レベルが [高] に設定されています。 この設定により、スクリプト、ActiveX コントロール、Microsoft Java Virtual Machine (MSJVM)、HTML コンテンツ、およびファイルのダウンロードが無効になります。
  • イントラネット サイトの自動検出が無効になっています。 この設定により、ローカル イントラネット ゾーンに明示的にリストされていないすべてのイントラネット Web サイトとすべての汎用名前付け規則 (UNC) パスがインターネット ゾーンに割り当てられます。
  • オンデマンドインストールと Microsoft 以外のブラウザー拡張機能は無効になっています。 この設定により、Web ページでコンポーネントが自動的にインストールされなくなり、Microsoft 以外の拡張機能が実行されなくなります。
  • マルチメディア コンテンツが無効になっています。 この設定により、音楽、アニメーション、ビデオ クリップが実行されなくなります。

インターネット エクスプローラーセキュリティ強化構成を無効にすると、この脆弱性が悪用されるのを防ぐために適用される保護が削除されます。 インターネット エクスプローラーセキュリティ強化構成の詳細については、「インターネットエクスプローラーセキュリティ強化構成の管理」ガイドを参照してください。 これを行うには、次の Microsoft Web サイトを参照してください。

https://www.microsoft.com/download/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&D isplayLang;=en

インターネット エクスプローラーセキュリティ強化構成が無効になっている可能性が高い Windows Server 2003 の構成はありますか。
はい。 Windows Server 2003 をターミナル サーバーとして展開したシステム管理は、インターネット エクスプローラーセキュリティ強化構成を無効にして、ターミナル サーバーのユーザーが無制限モードでインターネット エクスプローラーを使用できるようにする可能性があります。

CAN-2003-0814、CAN-2003-0815、CAN-2003-0816: ExecCommand、関数ポインターのオーバーライド、スクリプト URL のクロス Doメイン 脆弱性により、リモートでコードが実行される

これらの脆弱性の範囲は何ですか?
これらの脆弱性により、悪意のある Web サイトオペレーターが、ブラウザーが特別に書式設定されたスクリプト URL を解析するときに、特別に細工されたコードを挿入してメイン別のインターネットまたはイントラネットの情報にアクセスしたり、ユーザーのローカル システム上でアクセスしたりする可能性があります。 これにより、攻撃者がユーザーのシステムで好みの実行可能ファイルを実行する可能性もあります。 これらの脆弱性はすべて微妙に異なりますが、効果は同じです。

これらの脆弱性の原因は何ですか?
これらの脆弱性は、3 つの異なるプログラミング関数が、インターネット エクスプローラーが実装するクロス doメイン セキュリティ モデルをバイパスできるためです。

インターネット エクスプローラーが実装するクロス doメイン セキュリティ モデルは何ですか?
ブラウザーの主要なセキュリティ機能の 1 つは、異なる Web サイトの制御下にあるブラウザー ウィンドウが互いに干渉したり、互いのデータにアクセスしたりできないようにし、同じサイトのウィンドウが相互に対話できるようにすることです。 協調ブラウザー ウィンドウと非協力ブラウザー ウィンドウを区別するために、"doメイン" という概念が作成されました。 doメイン はセキュリティ境界です。同じ do 内の開いているウィンドウはメイン互いにやり取りできますが、異なる doメイン のウィンドウは操作できません。 クロス doメイン セキュリティ モデルは、ウィンドウが異なる doメイン が相互に干渉しないようにするセキュリティ アーキテクチャの一部です。 doメイン の最も簡単な例は、Web サイトに関連付けられています。 アクセスするとhttps://www.microsoft.com、ウィンドウが開https://www.microsoft.com/securityき、両方のサイトが同じ doメイン に属しているため、https://www.microsoft.com2 つのウィンドウが相互に対話できます。 ただし、アクセスしhttps://www.microsoft.com、別の Web サイトへのウィンドウを開いた場合、クロス doメイン セキュリティ モデルによって 2 つのウィンドウが互いに保護されます。 概念はさらに進む。 ローカル コンピューター上のファイル システムも doメイン です。 たとえば、ウィンドウを開き、 https://www.microsoft.com ハード ディスク上のファイルを表示できます。 ただし、ローカル ファイル システムは Web サイトとは異なる doメインにあるため、クロス doメイン セキュリティ モデルでは、Web サイトが表示されているファイルを読み取らないようにする必要があります。 インターネット エクスプローラークロス doメイン セキュリティ モデルは、インターネット エクスプローラーのセキュリティ ゾーン設定を使用して構成できます。

インターネット エクスプローラー セキュリティ ゾーンとは
インターネット エクスプローラー セキュリティ ゾーンは、信頼性に基づいてオンライン コンテンツをカテゴリまたはゾーンに分割するシステムです。 特定の Web doメイン は、各 do のコンテンツにどの程度の信頼が設定されているかに応じて、ゾーンに割り当てることができますメイン。 その後、ゾーンは、ゾーンのポリシーに基づいて Web コンテンツの機能を制限します。 既定では、ほとんどのインターネット doメイン はインターネット ゾーンの一部として扱われます。このゾーンには、スクリプトやその他のアクティブなコードがローカル システム上のリソースにアクセスできないようにする既定のポリシーがあります。

インターネットエクスプローラーがクロス doメイン セキュリティを計算する方法に何が問題がありますか?
インターネット エクスプローラーは、ある Web ページが別のセキュリティ ゾーン内のリソースへのアクセスを要求したときにセキュリティを評価します。 ただし、3 つの異なるプログラミング関数を使用した場合のセキュリティの計算方法には、3 つの脆弱性があります。 その結果、攻撃者はセキュリティチェックをバイパスできます。 これらの脆弱性はすべて微妙に異なりますが、効果は同じです。

攻撃者は、これらの脆弱性によって何を実行できるでしょうか。
攻撃者は、これらの脆弱性を使用して Web ページを作成し、攻撃者が複数の操作メインデータにアクセスできるようにする可能性があります。 これには、他の Web サイト、システム上のローカル ファイル、またはローカル ファイル システムに既に存在する実行可能ファイルの実行からの情報へのアクセスが含まれます。 これには、攻撃者が選択した実行可能ファイルをユーザーのローカル ファイル システムで実行することも含まれます。

攻撃者はどのようにしてこれらの脆弱性を悪用する可能性がありますか?
攻撃者は、悪意のある Web ページまたは HTML 電子メール メッセージを作成し、ユーザーにこのページへのアクセスまたは HTML 電子メール メッセージの表示を誘導することで、これらの脆弱性を悪用しようとする可能性があります。 ユーザーがページにアクセスしたり、電子メール メッセージを表示したりすると、攻撃者はマイ コンピューター ゾーンのセキュリティ コンテキストでスクリプトを実行する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
インターネットエクスプローラーがインストールされているシステムは、これらの脆弱性の危険にさらされます。 この更新プログラムは、すべてのシステムに直ちにインストールする必要があります。 ただし、これらの脆弱性では、悪意のあるアクションが発生するために、ユーザーがログオンし、インターネット エクスプローラーを使用している必要があります。 そのため、インターネット エクスプローラーがアクティブに使用されているシステム (ユーザーのワークステーションなど) は、これらの脆弱性のリスクが最も高まります。 インターネット エクスプローラーがアクティブに使用されていないシステム (ほとんどのサーバー システムなど) は、リスクが軽減されます。

更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるプログラミング関数が使用されるたびに、正しいクロス doメインセキュリティ チェックが実行されるようにすることで、この脆弱性に対処します。

CAN-2003-0817: XML オブジェクトの脆弱性により、情報漏えいが発生する

この脆弱性の範囲は何ですか?
この脆弱性には、インターネット エクスプローラーの XML ドキュメントにゾーン情報が渡される方法が含まれており、攻撃者がユーザーのシステム上のローカル ファイルを読み取る可能性があります。 この脆弱性を悪用するには、攻撃者は、この特定の脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトをホストし、そのサイトにアクセスするようにユーザーを誘導する必要があります。 ユーザーが悪意のある Web サイトにアクセスした後、攻撃者はユーザーのシステム上の既知の場所からローカル ファイルを読み取る可能性があります。

この脆弱性の原因は何ですか?
この脆弱性は、コンテンツを XML ドキュメントにバインドするときに、インターネット エクスプローラーがパスを正しく検証しないために発生します。 その結果、ローカル ファイルのコンテンツは、インターネット ゾーンまたはイントラネット ゾーンから XML ドキュメントにバインドできます。

XML ドキュメントとは
XML ドキュメントは、World Wide Web コンソーシアムの (W3C) ドキュメント オブジェクト モデル (DOM) レベル 1 コアと DOM レベル 2 コア表したものです。 これらのドキュメントは、XML の処理に関する標準ベースのサポートを提供します。 XML ドキュメントの詳細については、MSDN を参照してください

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、最近アクセスした Web サイトの一覧を取得したり、ユーザーの Cookie ファイルからセッション情報を取得したり、ユーザーのファイル システム上の既知の場所に格納されているファイル内のデータにアクセスしたりする可能性があります。

攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、攻撃者は、この特定の脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトまたは HTML 電子メール メッセージをホストし、そのサイトにアクセスするか、電子メール メッセージを表示するようにユーザーを誘導する必要があります。 ユーザーが Web サイトまたは HTML 電子メール メッセージを表示すると、HTML ファイルをダウンロードするように求められます。 ユーザーがこの HTML ファイルのダウンロードを受け入れた場合、攻撃者はユーザーのシステム上のローカル ファイルを読み取る可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
インターネットエクスプローラーがインストールされているすべてのシステムは、この脆弱性の危険にさらされ、この更新プログラムはすべてのシステムに直ちにインストールする必要があります。 ただし、この脆弱性により、悪意のあるアクションが発生するために、ユーザーがログオンし、インターネット エクスプローラーを使用している必要があります。 したがって、インターネット エクスプローラーがアクティブに使用されているシステム (ユーザーのワークステーションなど) は、この脆弱性の最も危険にさらされます。 インターネット エクスプローラーがアクティブに使用されていないシステム (ほとんどのサーバー システムなど) は、リスクが軽減されます。

更新プログラムは何を行いますか?
この更新プログラムは、コンテンツをデータ オブジェクトにバインドするときにパスが適切に評価されるようにすることで、この脆弱性を修正します。 その結果、インターネット ゾーンまたはイントラネット ゾーンの XML オブジェクトにローカル ファイル コンテンツをバインドできません。

CAN-2003-0823: ドラッグ アンド ドロップの脆弱性により、任意のコードがユーザーのシステムに保存される可能性がある

この脆弱性の範囲は何ですか?
この脆弱性は、インターネット エクスプローラーのドラッグ アンド ドロップ イベントを含み、ユーザーがリンクをクリックしたときにファイルがユーザーのシステムに保存される可能性があります。 ユーザーは、ダウンロードの承認を要求するダイアログ ボックスを受け取りません。 この脆弱性を悪用するには、攻撃者は、この特定の脆弱性を悪用するように設計されたリンクを含む Web ページを含む悪意のある Web サイトをホストし、そのサイトにアクセスするようユーザーを誘導する必要があります。 ユーザーが悪意のあるリンクをクリックした場合、攻撃者が選択したコードがユーザーのコンピューター上のターゲットの場所に保存される可能性があります。

この脆弱性の原因は何ですか?
この脆弱性は、ドラッグ アンド ドロップ テクノロジが特定の動的 HTML (DHTML) イベントを不適切に検証することによって発生します。 その結果、ユーザーがリンクをクリックした後、ユーザーのシステムにファイルをダウンロードできます。

DHTML イベントとは
DHTML イベントは、DHTML オブジェクト モデルによって提供される特別なアクションです。 これらのイベントをスクリプト コードで使用して、動的コンテンツを Web サイトに追加できます。 DHTML イベントの詳細については、MSDN を参照してください

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ユーザーのローカル ファイル システムに任意のコードを保存する可能性があります。 この脆弱性によってこのコードを直接実行することはできませんが、ファイルが機密性の高い場所にドロップされた場合、またはユーザーが誤ってファイルをクリックすると、攻撃者のコードが実行される可能性があります。

攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、攻撃者は、この特定の脆弱性を悪用するように設計されたリンクを含む Web ページを含む悪意のある Web サイトをホストし、そのサイトにアクセスするようユーザーを誘導する必要があります。 ユーザーが悪意のあるリンクをクリックした場合、攻撃者が選択したコードがユーザーのコンピューター上のターゲットの場所に保存される可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
インターネット エクスプローラーがインストールされているすべてのシステムは、この脆弱性の危険にさらされます。この更新プログラムは、すべてのシステムに直ちにインストールする必要があります。 ただし、この脆弱性により、悪意のあるアクションが発生するために、ユーザーがログオンし、インターネット エクスプローラーを使用している必要があります。 したがって、インターネット エクスプローラーがアクティブに使用されているシステム (ユーザーのワークステーションなど) は、この脆弱性の最も危険にさらされます。 インターネット エクスプローラーがアクティブに使用されていないシステム (ほとんどのサーバー システムなど) は、リスクが軽減されます。

更新プログラムは何を行いますか?
この更新プログラムは、DHTML イベント中にドラッグ アンド ドロップ操作を正しく評価することで、この脆弱性を修正します。

セキュリティ更新プログラムの情報

前提条件

Microsoft は、Windows のバージョンと、このセキュリティ情報に記載されているインターネット エクスプローラーのバージョンをテストして、これらの脆弱性の影響を受けるかどうかを評価し、このセキュリティ情報で説明されている更新プログラムがこれらの脆弱性に対処していることを確認しました。

この更新プログラムの Internet エクスプローラー 6 Service Pack 1 (SP1) バージョンをインストールするには、次のいずれかのバージョンの Windows でインターネット エクスプローラー 6 SP1 (バージョン 6.00.2800.1106) を実行している必要があります。

  • Microsoft Windows NT® Workstation 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6
  • Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4
  • Microsoft Windows XP
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP 64 ビット エディション Service Pack 1

この更新プログラムの Windows Server 2003 バージョンのインターネット エクスプローラー 6 をインストールするには、 Windows Server 2003 (32 ビットまたは 64 ビット) でインターネット エクスプローラー 6 (バージョン 6.00.3790.0000) を実行しているか、Windows XP 64-Bit Edition バージョン 2003 でインターネット エクスプローラー 6 (バージョン 6.00.3790.0000) を実行している必要があります。

この更新プログラムのインターネット エクスプローラー 6 バージョンをインストールするには、32 ビット バージョンの Windows XP でインターネット エクスプローラー 6 (バージョン 6.00.2600.0000) を実行している必要があります。

この更新プログラムの Internet エクスプローラー 5.5 バージョンをインストールするには、次のいずれかのバージョンの Windows でインターネット エクスプローラー 5.5 Service Pack 2 (バージョン 5.50.4807.2300) を実行している必要があります。

  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows NT® Workstation 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 ターミナル サーバー エディション Service Pack 6
  • Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4

この更新プログラムのインターネット エクスプローラー 5.01 バージョンをインストールするには、次のいずれかを実行する必要があります。

  • Windows 2000 SP4 のインターネット エクスプローラー 5.01 Service Pack 4 (バージョン 5.00.3700.1000)

  • Windows 2000 SP3 のインターネット エクスプローラー 5.01 Service Pack 3 (バージョン 5.00.3502.1000)

  • Windows 2000 SP2 のインターネット エクスプローラー 5.01 Service Pack 2 (バージョン 5.00.3502.1000)

    注: この記事に記載されていない Windows のバージョンとインターネット エクスプローラーのバージョンはサポートされなくなりました。 これらのバージョンの Windows およびインターネット エクスプローラーに、この記事で説明されている更新プログラム パッケージの一部をインストールできますが、Microsoft はこれらのバージョンをテストして、これらの脆弱性の影響を受けるかどうかを評価したり、この記事で説明されている更新プログラムがこれらの脆弱性に対処していることを確認したりしていません。 Microsoft では、サポートされているバージョンの Windows とインターネット エクスプローラーにアップグレードしてから、適切な更新プログラムを適用することをお勧めします。

実行しているインターネット エクスプローラーのバージョンを確認する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するには、次の資料番号をクリックしてください。

164539 インストールされているインターネット エクスプローラーのバージョンを確認する方法

Windows コンポーネントのサポート ライフ サイクルの詳細については、次の Microsoft Web サイトを参照してください。

</https:>https:

インターネット エクスプローラー 6 用の最新のサービス パックを入手する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するには、次の資料番号をクリックしてください。

328548 インターネット エクスプローラー 6 の最新の Service Pack を入手する方法

Internet エクスプローラー 5.5 用の最新の Service Pack を入手する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

276369 インターネット エクスプローラー 5.5 用最新の Service Pack を入手する方法

インターネット エクスプローラー 5.01 用の最新の Service Pack を入手する方法の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

267954 最新のインターネット エクスプローラー 5.01 Service Pack を入手する方法

再起動の要件

インストールを完了するには、コンピューターを再起動する必要があります。 再起動後、管理者ログオンは 、この更新プログラムの任意のバージョンでは不要になりました

以前の更新の状態

この更新プログラムは、MS03-040: 2003 年 10 月、インターネット エクスプローラーの累積的な更新プログラム (828750) に置き換えられます

セットアップ スイッチ

このセキュリティ更新プログラムの Windows Server 2003 バージョン (Windows XP 64 ビット エディション、バージョン 2003 を含む) では、次のセットアップ スイッチがサポートされています。

/?: インストール スイッチの一覧を表示します。

/u: 無人モードを使用します。

/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。

/n: 削除のためにファイルをバックアップしないでください。

/o: プロンプトを表示せずに OEM ファイルを上書きします。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

/l: インストールされている修正プログラムを一覧表示します。

/x: セットアップを実行せずにファイルを抽出します。

注: Microsoft は、セットアップ スイッチの強化されたセットをサポートするセキュリティ パッチのリリースを開始しました。 旧バージョンとの互換性のために、これらの新しいセキュリティ パッチでは、上記のセットアップ ユーティリティの以前のバージョンで使用されていたセットアップ スイッチもサポートされています。 現時点では、すべての新しいセキュリティ パッチが更新されているわけではありません。 セキュリティ パッチでサポートされているセットアップ スイッチは、'/?' を使用して確認できます。 セットアップ スイッチ。 これらの更新されたセキュリティ パッチは、次のセットアップ スイッチのサポートを提供します。

/help コマンド ライン オプションを表示する

セットアップ モード

/静音 モード (ユーザーの操作や表示なし)

/パッシブ 無人モード (進行状況バーのみ)

/uninstall パッケージをアンインストールします

再起動オプション

/norestart インストールが完了したときに再起動しない

/forcerestart インストール後の再起動

特別なオプション

/l インストールされている Windows 修正プログラムまたは更新プログラム パッケージの一覧

/o プロンプトを表示せずに OEM ファイルを上書きする

/n アンインストールに必要なファイルをバックアップしない

/f コンピューターのシャットダウン時に他のプログラムを強制的に閉じる

デプロイ情報

ユーザーの介入なしに Windows Server 2003 32 ビット セキュリティ更新プログラムをインストールするには、次のコマンドを使用します。

windowsserver2003-kb824145-x86-enu.exe /u /q

コンピューターを強制的に再起動せずにこのセキュリティ更新プログラムをインストールするには、次のコマンドを使用します。

/z のwindowsserver2003-kb824145-x86-enu.exe

注: これらのスイッチは 1 つのコマンドで結合できます。

このセキュリティ更新プログラムの他の更新プログラム パッケージでは、次のセットアップ スイッチがサポートされています。

/q: ファイルが抽出されるときに、Quiet モードを使用するか、メッセージを抑制します。

/q:u: ユーザー静音モードを使用します。 ユーザー静音モードでは、ユーザーにいくつかのダイアログ ボックスが表示されます。

/q:a: 管理istrator-Quiet モードを使用します。 管理istrator-Quiet モードでは、ユーザーにダイアログ ボックスは表示されません。

/t:path: セットアップによって使用される一時フォルダーの場所、またはファイルを抽出するためのターゲット フォルダー (/c スイッチを使用している場合) を指定します。

/c: ファイルをインストールせずに展開します。 /t: パス スイッチを指定しない場合は、ターゲット フォルダーの入力を求められます。

/c:path: Setup .inf ファイルまたは .exe ファイルのパスと名前を指定します。

/r:n: インストール後にコンピューターを再起動しないでください。

/r:i: 再起動が必要な場合は、/q:a スイッチでこのスイッチを使用する場合を除き、コンピューターの再起動をユーザーに求めます。

/r:a: インストール後は常にコンピューターを再起動します。

/r:s: ユーザーにメッセージを表示せずに、インストール後にコンピューターを再起動します。

/n:v: バージョンをチェックしないでください。 このスイッチは、インターネット エクスプローラーの任意のバージョンに更新プログラムをインストールする場合に注意して使用してください。

たとえば、ユーザーの介入なしで更新プログラムをインストールし、コンピューターの再起動を強制しない場合は、次のコマンドを使用します。

q824145.exe /q:a /r:n

更新プログラムのインストールの確認

コンピューターにセキュリティ更新プログラムがインストールされていることを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用します。 MB (メガバイト)SA の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

320454 Microsoft Baseline Security Analyzer バージョン 1.1.1 を使用できます

次のいずれかの方法を使用して、このセキュリティ更新プログラムがインストールされているファイルを確認することもできます。

  • [インターネット エクスプローラーについて] ダイアログ ボックスの [更新プログラムのバージョン] フィールドにQ824145が表示されていることを確認します。 この方法は、Windows Server 2003 または Windows XP 64-Bit Edition Version 2003 では使用できません。パッケージでは、これらのバージョンの Windows の [更新プログラムのバージョン] フィールドが更新されないためです。
  • コンピューター上の更新されたファイルのバージョンを、このセキュリティ情報の「ファイル情報」セクションに記載されているファイルと比較します。
  • 次のレジストリ エントリが存在することを確認します。

    • Windows Server 2003 および Windows XP 64 ビット エディションバージョン 2003:

      次のレジストリ キーに、 データ値が 1 のインストール済み DWORD 値が表示されていることを確認します。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB (キロバイト)824145

    • その他のすべてのバージョンの Windows:

      次のレジストリ キーに 、データ値が 1 の IsInstalled DWORD 値が表示されていることを確認します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{057997dd-71e4-43cc-b161-3f8180691a9e}

削除情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] ツール (または [プログラムの追加と削除] ツール) を使用します。 [インターネット エクスプローラー Q824145] をクリックし、[変更]、[削除] の順にクリックします (または、[追加と削除] をクリックします)。

Windows Server 2003 および Windows XP 64 ビット エディションバージョン 2003 では、システム管理者は Spunist.exe ユーティリティを使用してこのセキュリティ更新プログラムを削除できます。 Spuninst.exe ユーティリティは%Windir%\$NTUninstall KB (キロバイト)824145$\Spuninst フォルダーにあります。 このユーティリティは、次のセットアップ スイッチをサポートしています。

/?: インストール スイッチの一覧を表示します。

/u: 無人モードを使用します。

/f: コンピューターのシャットダウン時に他のプログラムを強制的に終了します。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

他のすべてのバージョンの Windows では、システム管理者は Ieuninst.exe ユーティリティを使用してこの更新プログラムを削除できます。 このセキュリティ更新プログラムは、%Windir% フォルダーに Ieuninst.exe ユーティリティをインストールします。 このユーティリティは、次のセットアップ スイッチをサポートしています。

/?: サポートされているスイッチの一覧を表示します。

/z: インストールが完了したら再起動しないでください。

/q: Quiet モード (ユーザー操作なし) を使用します。

たとえば、この更新プログラムを静かに削除するには、次のコマンドを使用します。

c:\windows\ieuninst /q c:\windows\inf\q824145.inf

注: このコマンドは、Windows が C:\Windows フォルダーにインストールされていることを前提としています。

ファイル情報

この修正プログラムの英語版には、次の表に示すファイル属性 (またはそれ以降) があります。 これらのファイルの日付と時刻は、協定世界時 (UTC) で一覧表示されます。 ファイル情報を表示すると、ローカル時刻に変換されます。 UTC と現地時刻の違いを見つけるには、コントロール パネルの [日付と時刻] ツールの [タイム ゾーン] タブを使用します。

プラットフォームの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。

Internet エクスプローラー 6 SP1 for Windows XP、Windows XP SP1、Windows 2000 SP2、Windows 2000 SP3、Windows 2000 SP4、Windows NT 4.0 SP6a、Windows Millennium Edition、Windows 98、Windows 98 Second Edition

バージョン サイズ ファイル名
6.0.2800.1276 2,799,104 10-16-2003 Mshtml.dll
6.0.2800.1276 1,339,392 10-16-2003 Shdocvw.dll
6.0.2800.1276 395,264 10-16-2003 Shlwapi.dll
6.0.2800.1282 484,352 10-17-2003 Urlmon.dll

Windows XP 64 ビット エディション用インターネット エクスプローラー 6 SP1 (64 ビット)

バージョン サイズ ファイル名
6.0.2800.1276 9,082,368 10-16-2003 Mshtml.dll
6.0.2800.1276 3,649,536 10-16-2003 Shdocvw.dll
6.0.2800.1276 1,095,168 10-16-2003 Shlwapi.dll
6.0.2800.1282 1,414,656 10-20-2003 Urlmon.dll

Windows Server 2003 のインターネット エクスプローラー 6 SP1

バージョン サイズ ファイル名
RTMQFE
6.0.3790.96 509,440 10-24-2003 urlmon.dll
6.0.3790.94 2,918,400 10-24-2003 mshtml.dll
6.0.3790.94 1,394,688 10-24-2003 shdocvw.dll
RTMGDR
6.0.3790.94 509,440 10-24-2003 urlmon.dll
6.0.3790.94 2,918,400 10-24-2003 mshtml.dll
6.0.3790.94 1,394,688 10-24-2003 shdocvw.dll

Windows 2003 64 ビット バージョンおよび Windows XP 64 ビット エディションバージョン 2003 のインターネット エクスプローラー 6 SP1 (64 ビット)

バージョン サイズ ファイル名
RTMQFE
6.0.3790.94 8,211,968 10-24-2003 mshtml.dll
6.0.3790.94 3,360,256 10-24-2003 shdocvw.dll
6.0.3790.96 1,271,808 10-24-2003 urlmon.dll
RTMQFE - WOW
6.0.3790.94 2,918,400 10-24-2003 wmshtml.dll
6.0.3790.94 1,394,688 10-24-2003 wshdocvw.dll
6.0.3790.96 509,440 10-24-2003 wurlmon.dll
RTMGDR
6.0.3790.94 8,211,968 10-24-2003 mshtml.dll
6.0.3790.94 3,360,768 10-24-2003 shdocvw.dll
6.0.3790.94 1,271,808 10-24-2003 urlmon.dll
RTMGDR - WOW
6.0.3790.94 2,918,400 10-24-2003 wmshtml.dll
6.0.3790.94 1,394,688 10-24-2003 wshdocvw.dll
6.0.3790.94 509,440 10-24-2003 wurlmon.dll

Windows XP 用インターネット エクスプローラー 6

バージョン サイズ ファイル名
6.0.2734.1600 2,763,776 10-16-2003 mshtml.dll
6.0.2722.900 34,304 08-15-2003 pngfilt.dll
6.0.2715.400 548,864 03-04-2002 shdoclc.dll
6.0.2734.1600 1,336,832 10-16-2003 shdocvw.dll
6.0.2730.1200 391,168 08-15-2003 shlwapi.dll
6.0.2715.400 109,568 08-15-2003 url.dll
6.0.2734.200 481,792 10-02-2003 urlmon.dll
6.0.2718.400 583,168 06-06-2002 Wininet.dll

Internet エクスプローラー 5.5 SP2 for Windows 2000 SP2、Windows 2000 SP3、Windows 2000 SP4、Windows NT 4.0 SP6a、Windows Millennium Edition、Windows 98、Windows 98 Second Edition

バージョン サイズ ファイル名
5.50.4934.1600 2,760,976 10-16-2003 Mshtml.dll
5.50.4922.900 48,912 10-16-2002 Pngfilt.dll
5.50.4934.1600 1,149,712 10-16-2003 Shdocvw.dll
5.50.4930.1200 300,816 06-12-2003 Shlwapi.dll
5.50.4915.500 84,240 03-04-2002 Url.dll
5.50.4934.200 451,344 10-02-2003 Urlmon.dll
5.50.4918.600 481,552 06-06-2002 Wininet.dll

Windows 2000 SP2 用インターネット エクスプローラー 5.01

バージョン サイズ ファイル名
5.0.3523.1700 2,282,768 10-17-2003 Mshtml.dll
5.0.3521.1800 48,912 08-19-2003 Pngfilt.dll
5.0.3523.1700 1,099,536 10-17-2003 Shdocvw.dll
5.0.3521.1800 279,824 08-19-2003 Shlwapi.dll
5.50.4915.500 84,240 03-04-2002 Url.dll
5.0.3523.200 409,360 10-02-2003 Urlmon.dll
5.0.3521.1800 445,200 08-19-2003 Wininet.dll

Windows 2000 SP3 用インターネット エクスプローラー 5.01

バージョン サイズ ファイル名
5.0.3523.1700 2,282,768 10-17-2003 mshtml.dll
5.0.3521.1800 48,912 08-19-2003 pngfilt.dll
5.0.3523.1700 1,099,536 10-17-2003 shdocvw.dll
5.0.3521.1800 279,824 08-19-2003 shlwapi.dll
5.50.4915.500 84,240 03-04-2002 url.dll
5.0.3523.200 409,360 10-02-2003 urlmon.dll
5.0.3521.1800 445,200 08-19-2003 Wininet.dll

Windows 2000 SP4 用インターネット エクスプローラー 5.01

バージョン サイズ ファイル名
5.0.3810.1700 2,282,768 10-17-2003 mshtml.dll
5.0.3806.1200 48,912 06-12-2003 pngfilt.dll
5.0.3810.1700 1,099,536 10-17-2003 shdocvw.dll
5.0.3806.1200 279,824 06-12-2003 shlwapi.dll
5.50.4915.500 84,240 03-04-2002 url.dll
5.0.3810.200 409,360 10-02-2003 urlmon.dll
5.0.3806.1200 445,200 06-12-2003 Wininet.dll

その他の情報

受信確認

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • XML オブジェクト (CAN-2003-0817) の問題を報告するための jelmer (jkuperus@planet.nl)

その他のセキュリティ更新プログラムの取得:

その他のセキュリティの問題の更新は、次の場所から入手できます。

  • セキュリティ更新プログラムは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
  • コンシューマー プラットフォームの更新は、Windows Update Web サイト。

サポート:

  • テクニカル サポートは、Microsoft 製品サポート サービス (1-866-PCSAFETY) から入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連するサポートに対する料金はかかりません。 Microsoft サポートに問い合わせる方法については、/https:>https を参照してください<。

セキュリティ リソース:

ソフトウェア更新サービス (SUS):

Microsoft Software Update Services (SUS) を使用すると、管理者は、Windows 2000 および Windows Server™ 2003 ベースのサーバー、および Windows® 2000 Professional または Windows XP Professional を実行しているデスクトップ コンピューターに、最新の重要な更新プログラムとセキュリティ更新プログラムを迅速かつ確実に展開できます。

ソフトウェア更新サービスでこのセキュリティ更新プログラムを展開する方法については、次の Microsoft Web サイトを参照してください。

</https:>https:

Systems Management Server (SMS):

Systems Management Server では、このセキュリティ更新プログラムの展開に関するサポートを提供できます。 システム管理サーバーの詳細については、SMS Web サイト参照してください。 SMS には、SMS 2.0 Software Update Services Feature Pack や SMS 2.0 管理istration Feature Packなど、セキュリティ更新プログラムの展開に管理者を支援するいくつかの追加ツールも用意されています。 SMS 2.0 ソフトウェア更新サービス機能パックは、Microsoft Baseline Security Analyzer と Microsoft Office 検出ツールを利用して、セキュリティ情報の修復を幅広くサポートします。 一部のソフトウェア更新プログラムでは、コンピューターの再起動後に管理者権限が必要になる場合があります。

注: SMS 2.0 ソフトウェア更新サービス機能パックのインベントリ機能は、特定のコンピューターの更新プログラムを対象とするために使用でき、SMS 2.0 管理istration Feature Pack の昇格された権限展開ツールをインストールに使用できます。 これにより、コンピューターの再起動後に Systems Management Server と管理者権限を使用して明示的なターゲット設定を必要とする更新プログラムに最適な展開が提供されます。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 2003 年 11 月 11 日: セキュリティ情報が公開されました。
  • V1.1 November 12, 2003: Technical Details の重大度評価 URL を更新し、テスト済みバージョンに明確化テキストを追加しました。
  • V1.2 2003 年 12 月 11 日: [セキュリティ更新プログラム情報] セクションの Windows 2003 インストール スイッチを更新しました。
  • V1.3 2004 年 2 月 4 日: [技術的な詳細] セクションの Outlook の軽減策を更新しました。
  • V1.4 April 9, 2004: Windows Server 2003 /Windows XP 64-bit Edition Version 2003 の前提条件インターネット エクスプローラー 6 をセキュリティ更新プログラム セクションに追加しました。

2014-04-18T13:49:36Z-07:00</https にビルド:>