マイクロソフト セキュリティ情報 MS04-013

要点 :

これは Outlook Express 5.5 および Outlook Express 6 用に以前リリースされたすべての更新プログラムの機能を含む累積的な更新プログラムです。さらに、新たに確認された脆弱性を排除します。攻撃者がその脆弱性を悪用した場合、影響を受けるコンピュータ上のファイルにアクセスし、完全制御を取得する可能性があります。これは、コンピュータ上で Outlook Express が既定の電子メール プログラムとして使用されていない場合にも起こる可能性があります。

マイクロソフトは、この累積的な更新プログラムを直ちにインストールすることを推奨いたします。

深刻度および脆弱性識別番号 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

この累積的な更新プログラムによって置き換えられる更新プログラムはどれですか?

この累積的な更新プログラムは、以前にリリースされた Outlook Express 5.5 および Outlook Express 6 用のすべての更新プログラムを置き換えるものです。旧バージョンの Outlook Express の更新プログラムに該当するセキュリティ情報番号およびオペレーティング システムは、以下の表の通りです。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Outlook Express は、既定で、サポートされるすべての Windows コンピュータにインストールされます。マイクロソフトは、この累積的な更新プログラムをすべてのコンピュータに直ちにインストールすることを推奨いたします。しかし、攻撃者がこの脆弱性を悪用し、悪意のある操作を行うには、ユーザーがコンピュータにログオンし、電子メールを読み取るか、または Web サイトを訪問することが必要条件となります。そのため、電子メールの読み取り、または Internet Explorer が頻繁に使用されているすべてのコンピュータ （ユーザーのワークステーションなど） は、この脆弱性による危険にさらされる可能性が最も高いと言えます。通常電子メールの読み取りや、Web サイトの閲覧を行っていないコンピュータ （ほとんどのサーバー コンピュータなど） がさらされる危険性は低減されます。

Windows Server 2003 上で Internet Explorer を実行しています。これによって、この脆弱性の問題が緩和されますか?

いいえ。Windows Server 2003 上の Internet Explorer は既定でセキュリティ強化の構成と呼ばれる制限モードで実行されますが、それにより、この脆弱性の問題が緩和されることはありません。

Outlook Express を使用して電子メールまたはニュースグループを読んではいません。この脆弱性による危険にさらされますか?

はい。Outlook Express は既定でインストールされるため、この累積的な更新プログラムを適用するまで、危険にさらされることになります。攻撃者は、Outlook Express が既定で電子メール プログラムとして使用されていない場合でも、悪質な Web サイトまたは HTML 形式の電子メールによって、この脆弱性が悪用される可能性があります。

Windows XP Service Pack 1 (SP1)、Windows 2000 Service Pack 3 またはそれ以降のバージョンを使用しています。プログラムのアクセスと既定の設定ツールを使用して、Outlook Express を既定の電子メールプログラムから削除しました。その場合でもこの脆弱性からの危険にさらされますか?

はい。Outlook Express は既定でインストールされるため、この累積的な更新プログラムを適用するまで、危険にさらされます。[プログラムのアクセスと既定の設定] を使用して、Outlook Express が既定で電子メール プログラムとして選択されていない場合でも、攻撃者は悪質な Web サイトまたは HTML 形式の電子メールによって、この脆弱性を悪用しようとする可能性があります。[プログラムのアクセスと既定の設定] に関する詳細は、次の Web サイト （英語情報） をご覧ください。

Microsoft Baseline Security Analyzer (MBSA) を使いコンピュータをスキャンして、この更新プログラムをインストールする必要がないという結果がでました。このような結果でも、この脆弱性による危険にさらされますか?

現在 Microsoft Baseline Security Analyzer では、Outlook Express のセキュリティ関連の更新プログラムのスキャンが行われません。しかし、Microsoft Update では、必要な場合、この更新プログラムが正しく検出され、インストールされます。MBSA および MBSA が現在スキャンを行う製品に関する詳細は、次の Web サイトをご覧ください。

SMS を使用して、この更新プログラムを検出することができますか?

SMS は、MBSA を使用して更新プログラムのチェックを行いますが、この更新プログラムは、MBSA によって検出されません。しかし、このセキュリティ情報のファイル情報およびレジストリ キー情報を使用し、SMS に特定のファイルおよびレジストリ キーの集合体のクエリを書き込み、この脆弱性の影響を受けるコンピュータを検出することができます。

SMS を使用して、この更新プログラムを展開するにはどのようにしたらよいですか?

SMS のソフトウェアの配布の機能を使用して、この更新プログラムを展開するための方法は、次の Web サイトをご覧ください。

Windows 98、Windows 98 Second Edition および Windows Millennium Edition のサポートの延長により、これらのプラットフォーム用のセキュリティ更新プログラムのリリースにどのような影響がありますか？

マイクロソフトは、これらのオペレーティング システム上で、深刻度が「緊急」のセキュリティ問題がある場合にのみ、セキュリティ更新プログラムをリリースする予定です。このサポート期間中は、「緊急」以外のセキュリティ問題のための更新プログラムは提供されません。これらのオペレーティング システムのマイクロソフト サポート ライフサイクル ポリシーに関する詳細は、こちらの Web サイトをご覧ください。深刻度に関する詳細は、こちらの Web サイトをご覧ください。

Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこのセキュリティ情報で対応する脆弱性によって深刻な影響を受けますか?

はい。この脆弱性の、Windows 98、Windows 98 Second Edition または Windows Millennium Edition の深刻度はいずれも「緊急」と評価されています。

必要条件 :

マイクロソフトは、この脆弱性による影響を受けるかどうかを確認し、このセキュリティ情報で説明されている更新プログラムがこの脆弱性を解決することを確認するため、このセキュリティ情報に記載されている Windows および Outlook Express のテストを行いました。

Outlook Express 6 Service Pack 1 (SP1) 用の更新プログラムをインストールするには、以下の Windows のバージョンのいずれかで、Internet Explorer 6 SP1 (バージョン 6.00.2800.1106) を実行していることが必要となります。

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows Millennium Edition
• Microsoft Windows NT® Workstation 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6
• Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
• Microsoft Windows XP
• Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64-Bit Edition, Service Pack 1

この更新プログラムの、Windows Server 2003 向けの Outlook Express 6 用バージョンをインストールするには、Windows Server 2003 (32-bit または 64-bit) 上で Internet Explorer 6 (バージョン 6.00.3790.0000) を実行するか、または Windows XP 64-Bit Edition, Version 2003 上で Internet Explorer 6 (バージョン 6.00.3790.0000) を実行している必要があります。

この更新プログラムの Outlook Express 6 用のバージョンをインストールするには、32-bit 版の Windows XP 上で Internet Explorer 6 (バージョン 6.00.2600.0000) を実行している必要があります。

この更新プログラムの Outlook Express 5.5 用のバージョンをインストールするには、以下のバージョンのいずれかを実行している必要があります。

• Windows 2000 SP4 上で Internet Explorer 5.01 Service Pack 4 (バージョン 5.00.3700.1000) を実行
• Windows 2000 SP3 上で Internet Explorer 5.01 Service Pack 3 (バージョン 5.00.3502.1000) を実行
• Windows Millennium Edition 上で Internet Explorer 5.5 Service Pack 2 (バージョン 5.50.4807.2300) を実行

注 : このページに記載されていない Windows、Outlook Express および Internet Explorer のバージョンはサポートの対象となっていません。このページで説明されているアップデート パッケージの中には、Windows および Outlook Express のそれらのサポート対象外のバージョンにインストールできるものがありますが、マイクロソフトはそれらのバージョンが、この脆弱性による影響を受けるかどうか、またはこの更新プログラムがこの脆弱性を解決するかどうかを確認するためのテストを行っていません。マイクロソフトは、Windows および Outlook Express のサポートされるバージョンにアップグレードし、適切な更新プログラムを適用することを推奨いたします。

実行している Internet Explorer のバージョンを確認する方法は、マイクロソフト サポート技術情報 164539 をご覧ください。
Windows コンポーネントのサポート ライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクル の Web サイトをご覧下さい。
Internet Explorer 6 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 328548 をご覧ください。
Internet Explorer 5.5 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 276369 をご覧ください。
Internet Explorer 5.01 用の最新の Service Pack を入手する方法に関する詳細は、マイクロソフト サポート技術情報 267954 をご覧ください。

再起動の必要性 :

この更新プログラムの適用後に、コンピュータの再起動を必要としない場合があります。しかし、必要なファイルが使用中の場合、この更新プログラムを適用後、再起動をする必要があります。この場合、コンピュータを再起動する必要があることを示すメッセージが表示されます。この更新プログラムでは、コンピュータを再起動した後、管理者ログオンを使用する必要はありません。

このセキュリティ更新プログラムの Windows Server 2003 のバージョン (Windows XP 64-Bit Edition, Version 2003 を含む) では、以下のセットアップ スイッチがサポートされます。

/help: インストール スイッチの一覧を表示します

セットアップモード
/quiet: QUIET モード (ユーザー入力を必要としません。表示もしません)
/passive: 無人モード (進行状況バーのみ)
/uninstall: パッケージをアンインストールします

再起動オプション
/norestart: インストールの完了後、再起動しません
/forcerestart: インストール後、再起動します

特別なオプション
/l: インストール済みの Windows 更新プログラムまたは更新パッケージを表示します
/o: 確認メッセージを表示せずに OEM ファイルを上書きします
/n: アンインストールに必要なファイルのバックアップを作成しません
/f: シャットダウン時に他のプログラムを強制終了します

注 : これらのスイッチを 1 つのコマンド ラインに組み込むことができます。 旧バージョンとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンによって使用されるセットアップ スイッチもサポートしています。サポートされるインストール スイッチについての追加情報はマイクロソフト サポート技術情報 262841 をご覧ください。

適用に関する情報 :

ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、Windows Server 2003 のコマンド プロンプトで、次のコマンド ラインを使用してください。

Windows Server 2003 32 ビット用のこのセキュリティ更新プログラムをユーザーの操作なしでインストールするためには、次のコマンドラインを使用して下さい。

windowsserver2003-kb837009-x86-jpn.exe /quiet /passive

コンピュータを強制的に再起動させないでこのセキュリティ更新プログラムをインストールするためには、次のコマンドラインを使用して下さい。

windowsserver2003-kb837009-x86-jpn.exe /norestart

注 : これらのスイッチを 1 つのコマンド ラインに組み込むことができます。過去のものとの互換性のため、このセキュリティ更新プログラムは、セットアップ ユーティリティの以前のバージョンにより使用されるセットアップ スイッチもサポートします。しかし、このサポートは今後のセキュリティ更新プログラムで削除される可能性があるため、これらの以前のスイッチの使用は停止して下さい。

この累積的なセキュリティ更新プログラムのためのほかのアップデート パッケージでは、以下のセットアップ スイッチがサポートされます。

/q: ファイルが抽出される時、自動モードを使用、またはメッセージを表示しません
/q:u: User-Quiet モードを使用します。User-Quiet モードはユーザーにいくつかのダイアログ ボックスを表示します
/q:a: Use Administrator-Quiet モードを使用します。Administrator-Quiet モードはユーザーにダイアログ ボックスを表示しません
/t: path: セットアップまたはファイルの抽出のターゲットフォルダにより使用される一時フォルダの場所を指定します (/c スイッチを使用する場合)
/c: ファイルをインストールせずに抽出します。/t: path スイッチを指定していない場合、ターゲットフォルダについて確認メッセージが表示されます
/c: path: Setup .inf ファイルまたは .exe ファイルのパスおよび名前を指定します
/r:n: インストール後、コンピュータを再起動しません
/r:i: 再起動が必要である場合、ユーザーにコンピュータを再起動するよう確認メッセージを表示します (このスイッチが /q:a スイッチと使用される場合を除く)
/r:a: インストール後、コンピュータを常に再起動します
/r:s: ユーザーに確認メッセージを表示せずに、インストール後コンピュータを再起動します
/n:v: バージョンをチェックしません

注 : セットアップ スイッチに関する詳細は、マイクロソフト サポート技術情報 197147 をご覧ください。

たとえば、ユーザーの操作なしで、またコンピュータの再起動を強制せずにこの更新プログラムをインストールするためには、次のコマンドラインを使用して下さい。

q837009.exe /q:a /r:n

更新プログラムが正しくインストールされたかどうか確認する方法 :

コンピュータにこの累積的な更新プログラムがコンピュータにインストールされたことを確認するためには、次のステップにしたがってください。

• Internet Explorer を起動し、[ヘルプ] を選択し、Internet Explorer の [バージョン情報] をクリックします。[更新バージョン] のフィールドに Q837009 が表示されていることを確認して下さい。ただし、この方法は Windows Server 2003 または Windows XP 64-Bit Edition Version 2003 では使用できません。これらのオペレーティング システム用のパッケージをインストールしても [更新バージョン] フィールドは更新されないためです。
• 使用しているコンピュータ上の更新されたファイルのバージョンをこの資料の 「ファイル情報」 に記載されているファイルと比較します。
• 以下のレジストリ エントリが存在することを確認します。
  
  Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 の場合:
  以下のレジストリ キーに Installed 値 (DWORD) があり、データ値が 1 に設定されていることを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix\KB837009

上記以外のバージョンの Windows の場合:
以下のレジストリ キーに IsInstalled 値 (DWORD) があり、データ値が 1 に設定されていることを確認します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{ 2cc9d512-6db6-4f1c-8979-9a41fae88de0}

削除に関する情報 :

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [アプリケーションの追加と削除] で [Outlook Express Q837009] をクリックし、[変更と削除] または [追加と削除] をクリックします。

Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 の場合、システム管理者は Spunist.exe ユーティリティを使用してこの更新プログラムを削除することができます。Spuninst.exe プログラムは %Windir%\$NTUninstallKB837009$\Spuninst フォルダにあります。このユーティリティでは、以下のセットアップ スイッチがサポートされています。

/?: インストール スイッチの一覧を表示します
/u: 無人モードで実行します
/f: コンピュータがシャット ダウンする時、そのほかのプログラムを強制的に閉じます
/z: インストールの完了時に再起動しません
/q: Quiet モードで実行します (ユーザー入力を必要としません)

その他のバージョンの Windows の場合、システム管理者は ieuninst.exe ユーティリティを使用してこの更新プログラムを削除することができます。ieuninst.exe プログラムは %Windir% フォルダの中にあり、以下のコマンド ライン スイッチをサポートしています。

/?: サポートされているスイッチの一覧を表示します
/z: インストールの完了時に再起動しません
/q: Quiet モードで実行します (ユーザー入力を必要としません)

たとえば、この更新プログラムをメッセージなしで削除するためには、次のコマンドを使用して下さい。

c:\windows\ieuninst /q c:\windows\inf\q837009.inf

注 : 上記のコマンド ラインでは、Windows が C:\Windows フォルダにインストールされていることを前提としています。

ファイル情報 :

この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。
注 : ファイルの依存関係のため、これらの更新プログラムには他のファイルも含まれていることがあります。

オペレーティング システムに特有のセキュリティ更新プログラムに関する詳細は、適切なリンクをクリックしてください。