2004 年 9 月のセキュリティ情報

公開日: 2004年9月15日 | 最終更新日: 2004年9月16日

訂正
マイクロソフトプロダクトセキュリティ警告サービスで、10月のセキュリティ情報のページとして、本ページをご紹介しておりますが、正しくはこちら、2004 年 10 月のセキュリティ情報になります。
---------------------------------------------

ホームユーザーのお客様は、次のページをご覧下さい。
MS04-027 : WordPerfect コンバータの脆弱性により、コードが実行される
 MS04-028 : JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される

あなたの PC を守るための情報 (Protect your PC):

セキュリティ更新プログラム管理: Microsoft セキュリティ更新プログラム管理ガイドでは、セキュリティの更新プログラムを展開するための推奨事項を紹介しています。

マイクロソフトプロダクトセキュリティ警告サービス: セキュリティ情報を公開したことをメールでお知らせします。購読するには、次のサイトをご覧ください。マイクロソフトプロダクトセキュリティ警告サービス日本語版.

概要

新たに発見された新しい脆弱性の情報です。深刻度毎の詳しい情報は以下をご覧ください。

緊急 (1)

セキュリティ情報の番号	MS04-028
タイトル	JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987)
概要	JPEG イメージ形式の処理に脆弱性が存在し、これにより影響を受けるコンピュータで、リモートでコードが実行される可能性があります。
最大深刻度	緊急
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Windows、Office、Developer、Internet Explorer、他のソフトウェア. 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。注 : この脆弱性は、複数のセキュリティ更新プログラムをインストールする必要がある場合があります。「影響を受けるソフトウェアおよびダウンロード先」の一覧表にて、MS04-028 のセキュリティ情報番号の欄をチェックし、ご使用のコンピュータ上にインストールされたプログラムおよびコンポーネントを基に、インストールする必要がある更新プログラムを確認してください。

重要 (1)

セキュリティ情報の番号	MS04-027
タイトル	WordPerfect コンバータの脆弱性により、コードが実行される (884933)
概要	影響を受けるソフトウェアの一部として提供される WordPerfect 5.x コンバータにリモートでコードが実行される脆弱性が存在し、これにより、影響を受けるコンピュータで、リモートでコードが実行される可能性があります。
最大深刻度	重要
脆弱性の影響	リモートでコードが実行される
影響を受けるソフトウェア	Office、FrontPage、Works、Publisher. 詳細な情報は、「影響を受けるソフトウェアおよびダウンロード先」をご確認ください。

影響を受けるソフトウェアおよびダウンロード先

この表はどのように使用しますか?

この表を使用して、インストールが必要なセキュリティ更新プログラムに関する情報をご確認ください。表に記載されているソフトウェアプログラムまたはコンポーネントをチェックし、セキュリティ更新プログラムが必要かどうかを確認する必要があります。ソフトウェアプログラムまたはコンポーネントが表に記載されている場合、そのプログラムまたはコンポーネントへの脆弱性の影響とインストール可能なソフトウェアの更新プログラムへのハイパーリンクが記載されます。

表中に、カッコの中に数字 [x] があるマークがありますが、このマークはその問題について説明する注意書きがあることを示しています。それらの注意書きは表の最下部に記載されています。

注 : ひとつの脆弱性のために複数のセキュリティ更新プログラムをインストールする必要がある場合があります。上記の各セキュリティ情報の番号の表全体をご覧になり、お使いのシステムにインストールしてあるプログラムまたはコンポーネントをもとに、インストールする必要がある更新プログラムをご確認ください。

たとえば、セキュリティ情報 MS04-028では、インストールした影響を受けるソフトウェアおよびコンポーネントによって、必要となる可能性のある複数のセキュリティ更新プログラムが提供されています。

影響を受けるソフトウェアおよびダウンロード先

	詳細	詳細
セキュリティ情報の番号	MS04-027	MS04-028
最大深刻度	重要	緊急
影響を受けるWindowsのソフトウェア
Windows Server 2003 64-Bit Edition		緊急
Windows Server™ 2003		緊急
Windows XP 64-Bit Edition Version 2003		緊急
Windows XP 64-Bit Edition Service Pack 1		緊急
Windows XP		緊急
Windows XP Service Pack 1		緊急
Windows 2000 Service Pack 2		[1]
Windows 2000 Service Pack 3		[1]
Windows 2000 Service Pack 4		[1]
Windows NT® Workstation 4.0 Service Pack 6a		[1]
Windows NT Server 4.0 Service Pack 6a		[1]
Windows NT Server 4.0 Terminal Server Edition Service Pack 6		[1]
Windows 98		[1]
Windows 98 Second Edition (SE)		[1]
Windows Millennium Edition (Me)		[1]

影響を受けるWindowsオペレーティングシステムのコンポーネント
Microsoft .NET Framework, version 1.0		重要[2]
Microsoft .NET Framework, version 1.1		重要[2]
Internet Explorer 6 Service Pack 1		緊急[2]

影響を受けるOfficeのソフトウェア
Office 2003	重要	緊急
Office XP Service Pack 3	重要	緊急
Office XP Service Pack 2	重要	緊急
Office 2000 Service Pack 3	重要
Visio 2003 (すべてのバージョン)		重要
Visio 2002 Service Pack 2 (すべてのバージョン)		重要
Project 2003 (すべてのバージョン)		重要
Project 2002 Service Pack 1 (すべてのバージョン)		重要
Works Suite 2002, Works Suite 2003, Works Suite 2004	重要
Works Suite 2001	重要
InterConnect Lite		重要
Home Style+		重要

影響を受ける.NET開発ツールおよびプラットフォーム
Visual Studio 2003 .NET		重要[3]
Visual Basic .NET Standard 2003		重要[3]
Visual C# .NET Standard 2003		重要[3]
Visual C++ .NET Standard 2003		重要[3]
Visual J# .NET Standard 2003		重要[3]
Visual Studio 2002 .NET		重要[3]
Visual Basic .NET Standard 2002		重要[3]
Visual C# .NET Standard 2002		重要[3]
Visual C++ .NET Standard 2002		重要[3]
.NET Framework, Version 1.0 SDK		重要[3]
Platform SDK Redistributable: GDI+		重要 [3]

影響を受けるその他のマイクロソフトのソフトウェア
Picture It!® 2002 (すべてのバージョン) (英語製品)		重要[2]
Picture It! デジカメスタジオ Version 2002		重要[2]
Picture It! Express 2002		重要[2]
Greetings 2002 (英語製品)		重要[2]
Picture It! version 7.0 (すべてのバージョン) (英語製品)		重要[2]
Picture It! Digital Image Pro Version 2003		重要[2]
Picture It! デジカメスタジオ Version 2003		重要[2]
Picture It! Express Version 2003		重要[2]
Digital Image Pro version 7.0 (英語製品)		重要[2]
Picture It! version 9 (Picture It! ® Library を含むすべてのバージョン) (英語製品)		重要[2]
デジカメスタジオ version 9		重要[2]
Picture It! Express version 9		重要[2]
Digital Image Pro version 9		重要[2]
Digital Image Suite version 9 (英語製品)		重要[2]
Producer for Microsoft Office PowerPoint (すべてのバージョン)		重要[2]

注意

[1]既定で、このオペレーティングシステムはこの問題の影響を受けませんが、他のソフトウェアプログラムまたはコンポーネントがインストールされた場合、この脆弱性の影響を受ける可能性があります。詳細は、該当のセキュリティ情報をご覧ください。

[2] Windows XP または Windows Server 2003 のユーザーは、この更新プログラムは必要ありません。詳細は該当のセキュリティ情報をご覧ください。

[3] Windows XP または Windows Server 2003 のユーザーは、.NET Framework バージョン 1.0 SDK、Visual Studio、Platform SDK Redistributable : GDI+ を使用していない限り、この更新プログラムは必要ありません。詳細は該当のセキュリティ情報をご覧ください。

展開

Software Update Services (SUS):

Microsoft Software Update Services (SUS) は、最新の重要な更新プログラムを適用し、Windows ベースのシステムを最新の状態に維持するプロセスを大幅に簡素化する目的で開発されました。SUS により、重要な更新プログラムを Windows 2000 や Windows Server 2003 ベースのサーバー、ならびに Windows 2000 Professional や Windows XP Professional を実行するデスクトップコンピュータへ迅速かつ確実に配布することができます。

Software Update Services に関するより詳細な情報は以下をご覧ください。Software Update Services Web site.

Systems Management Server:

System Management Server は、このセキュリティ更新プログラムの展開を補助する機能を提供します。System Management Serverに関する情報は、SMS Web サイトをご覧ください。SMS 2003 にはセキュリティ更新プログラムの展開プロセスを強化する機能が多く含まれています。その詳細情報に関しては、SMS 2003 セキュリティパッチ管理をご参照ください。SMS 2.0 をご使用の方には、セキュリティ更新プログラムの展開管理を補助するツール、SMS Software Update Services Feature Pack や、SMS Administration Feature Pack が提供されています。SMS 2.0 Software Update Services Feature Pack は、Microsoft Baseline Security Analyzer と Microsoft Office Detection ツールを使用して、セキュリティ更新プログラムの配布を広くサポートします。ソフトウェアの更新プログラムの中には、適用後にコンピュータを再起動するために管理者権限を必要とするものがあります。

注意:SMS 2.0 Software Update Services Feature Pack のインベントリ機能は特定のコンピュータのソフトウェアの更新、SMS 2.0 Administration Feature Pack の上位権利での展開ツールは、アプリケーションの展開が可能です。特定の更新でシステムの再起動後にローカルの管理者権限が必要となる場合に最適な配布方法を提供します。

QChain.exe および Update.exe:

システム管理者がセキュリティ更新プログラムを安全に連結するためのツール (QChain.exe) を公開しています。連結することで、複数の更新プログラムを更新プログラム毎に再起動する必要がありません。 update.exe は、この情報内の更新で使われており、連結するために必要な機能が提供されています。 Windows 2000 Service Pack 3 以降、Windows XP または、Windows Server 2003 をお使いのお客様は、連結のために Qchain.exe は必要としません。しかし、Qchain.exe は Windows の更新プログラム全般もサポートするので、管理者はすべてのプラットフォームにわたって一貫した展開スクリプトを作成することができます。Qchain ツールの入手先 :(英語情報)

Microsoft Baseline Security Analyzer:

Microsoft Baseline Security Analyzer は、管理者によりローカルコンピュータやリモートコンピュータの未適用のセキュリティ更新プログラムの確認、一般的なセキュリティの設定の検査を行うことができます。MBSA の詳細情報 : Microsoft Baseline Security Analyzer V1.2

関連情報:

謝辞:

マイクロソフトは顧客の保護のために協力して下さった、以下の方々に深い謝意を表します。

MS04-027 の問題を報告してくださった Next Generation Security Software Ltd. の Peter Winter-Smith 氏
MS04-028 の問題を報告してくださった Nick DeBaggis 氏

サポート:

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフトセキュリティ情報センターまでご連絡ください。マイクロソフトセキュリティ情報センター
その他、製品に関するご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。
製品のサポート期間の詳細は、マイクロソフトサポートライフサイクル Web サイトをご参照ください。製品別情報の詳細は、同様にマイクロソフトサポートライフサイクル Web サイトの製品を探すからご確認ください。

その他のセキュリティ情報

セキュリティ更新プログラムに関するよく寄せられる質問
Microsoft Software Update Services
今月のセキュリティ情報
Microsoft Baseline Security Analyzer MBSA ツールのセキュリティ更新プログラムの検出に関する制限は、サポート技術情報 306460 をご覧下さい。
Windows Update
Windows Update カタログの使い方については、サポート技術情報 323166 をご覧下さい。
Office Update

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

2004/9/15: このセキュリティ情報ページを公開しました。
2004/9/16: MS04-027 の「影響を受けるソフトウェア」の欄を更新し、Office XP Service Pack 2 がこの脆弱性の影響を受けることを明確にしました。
2004/9/16: MS04-028 の「影響を受けるソフトウェア」および「影響を受けないソフトウェア」の欄を更新し、Office XP Service Pack 2 が影響を受けることを明確にしました。.NET Framework 1.1 SDK および MS Works (すべてのバージョン）は影響を受けず、これらの製品を「影響を受けないソフトウェア」の欄に追加しました。また、「よく寄せられる質問」を更新し、この件に関する情報を追加いたしました。