セキュリティ情報
Microsoft セキュリティ情報 MS07-054 - 重要
MSN Messenger と Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099)
公開日: 2007 年 9 月 11 日 |更新日: 2007 年 9 月 12 日
バージョン: 1.1
一般情報
概要
この重要なセキュリティ更新プログラムは、MSN Messenger と Windows Live Messenger で公開されている脆弱性を解決します。 この脆弱性により、ユーザーが攻撃者からの Web カメラまたはビデオ チャットの招待を受け入れると、リモートでコードが実行される可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
MSN Messenger 7.0.0820 または Windows Live Messenger 8.1 を使用しているお客様は、この脆弱性の影響を受けません。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
この脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。
推奨。 Microsoft では、Microsoft Windows 2000 Service Pack 4 で MSN Messenger 6.2 および MSN Messenger 7.0 を使用している場合は、できるだけ早い機会に MSN Messenger 7.0.0820 にアップグレードすることをお勧めします。 MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、または Windows Live Messenger 8.0 を実行している、サポートされている他の Windows プラットフォームのお客様は、できるだけ早く Windows Live Messenger 8.1 にアップグレードする必要があります。
既知の問題。 なし
影響を受けるソフトウェアと影響を受けないもの
次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。
影響を受けるソフトウェア
| オペレーティング システム | ソフトウェア | セキュリティへの影響の最大値 | 重大度の評価の集計 | この更新プログラムに置き換えられたセキュリティ情報 |
|---|---|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | MSN Messenger 6.2\ MSN Messenger 7.0 | リモート コードの実行 | 重要 | なし |
| Windows XP Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows XP Professional x64 Edition | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows XP Professional x64 Edition Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows Server 2003 x64 Edition | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows Server 2003 x64 Edition Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows Vista | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
| Windows Vista x64 Edition | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | リモート コードの実行 | 重要 | なし |
影響を受けるソフトウェア以外のソフトウェア
| オペレーティング システム | ソフトウェア |
|---|---|
| Microsoft Windows 2000 Service Pack 4 | MSN Messenger 7.0.0820 |
| Windows XP Service Pack 2 | Windows Live Messenger 8.1 |
| Windows XP Professional x64 Edition | Windows Live Messenger 8.1 |
| Windows XP Professional x64 Edition Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Server 2003 x64 Edition | Windows Live Messenger 8.1 |
| Windows Server 2003 x64 Edition Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Vista | Windows Live Messenger 8.1 |
| Windows Vista x64 Edition | Windows Live Messenger 8.1 |
このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)
このアップグレードはどのように配布されますか?
MSN Messenger サービスにサインオンすると、サポートされているエディションの Microsoft Windows 2000 Service Pack 4 の MSN Messenger 6.2 および MSN Messenger 7.0 のユーザーは、MSN Messenger サービスのクライアント展開メカニズムによって、MSN Messenger 7.0.0820 へのアップグレードを受け入れるように求められます。
また、MSN Messenger 7.0.0820 へのアップグレードを直ちにダウンロードするユーザーは、影響を受けるソフトウェアの表に記載されているダウンロード センターのリンクを使用してダウンロードできます。 これは、Microsoft Windows 2000 Service Pack 4 のサポートされているエディションの MSN Messenger 6.2 および MSN Messenger 7.0 のユーザーにのみ適用されることに注意してください。
MSN Messenger または Windows Live Messenger サービスにサインオンすると、Microsoft Windows 2000 Service Pack 4 より後のサポートされているエディションのプラットフォームで MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、および Windows Live Messenger 8.0 のユーザーは、MSN Messenger または Windows Live Messenger サービスのクライアント展開メカニズムによって、Windows Live Messenger 8.1 へのアップグレードを受け入れるように求められます。
また、Windows Live Messenger 8.1 へのアップグレードを直ちにダウンロードするユーザーは、影響を受けるソフトウェアの表に記載されているダウンロード センターのリンクを使用して行うことができます。 これは、Microsoft Windows 2000 Service Pack 4 以降でサポートされているプラットフォームの MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、および Windows Live Messenger 8.0 のユーザーにのみ適用されることに注意してください。
それ以外の場合、MSN Messenger または Windows Live Messenger クライアントの脆弱なバージョンのユーザーは、MSN Messenger または Windows Live Messenger サービスへの接続を許可されない場合があります。
Microsoft が MSN Messenger または Windows Live Messenger サービスを介してこのアップグレードをリリースし、ダウンロードを提供するのはなぜですか?
Microsoft は現在、MSN Messenger または Windows Live Messenger サービスを使用して MSN Messenger または Windows Live Messenger クライアントのアップグレードを発行しています。これらのオンライン サービスには独自のクライアント展開メカニズムがあるためです。 ただし、ダウンロード センターのリンクは、影響を受けるソフトウェア テーブルで提供されているプラットフォームで実行されている特定の MSN Messenger または Windows Live Messenger クライアントでも利用できます。これは、ユーザーがアップグレードをすぐにダウンロードすることを望む場合があるためです。
これがアップグレードの場合、MSN Messenger または Windows Live Messenger の脆弱なバージョンがあるかどうかを検出するにはどうすればよいですか?
MSN Messenger または Windows Live Messenger サービスにサインオンしようとすると、クライアント展開メカニズムによって現在のクライアントのバージョンとプラットフォームが自動的に決定され、必要に応じて適切なアップグレードが推奨されます。 また、[ヘルプ] をクリックし、[バージョン情報] をクリックして、MSN Messenger または Windows Live Messenger クライアントのバージョンを確認することもできます。
MSN Messenger 7.0.0820 または Windows Live Messenger 8.1 にアップグレードしないとどうなりますか?
影響を受けるバージョンの MSN Messenger または Windows Live Messenger クライアントにアップグレードしない場合は、プラットフォームに応じて、サインオンの試行ごとにアップグレードが通知されます。 アップグレードに同意しない場合は、MSN Messenger または Windows Live Messenger サービスへのアクセスが許可されない可能性があります。 MSN Messenger クライアントと Windows Live Messenger クライアントのプラットフォームとアップグレード バージョンの詳細については、このセクションの「影響を受けないもの」の表を参照してください。
Windows Messenger や Office Communicator などの他の Microsoft リアルタイム コラボレーション アプリケーションは、この脆弱性の影響を受けていますか?
いいえ。 他のメッセージング アプリケーションには脆弱なコンポーネントが含まれていないため、影響を受けません。
脆弱性情報
重大度の評価と脆弱性識別子
| 影響を受けるソフトウェア | MSN Messenger の Web カメラまたはビデオ チャット セッションのリモートでのコード実行の脆弱性 - CVE-2007-2931 | 重大度の評価の集計 |
|---|---|---|
| MSN Messenger 6.2\ MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0 | 重要なリモート コード実行 | 重要 |
MSN Messenger の Web カメラまたはビデオ チャット セッションのリモートでのコード実行の脆弱性 - CVE-2007-2931
MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、および Windows Live Messenger 8.0 に、リモートでコードが実行される脆弱性が存在します。 この脆弱性により、ユーザーが攻撃者からの Web カメラまたはビデオ チャットの招待を受け入れることを選択した場合に、リモートでコードが実行される可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2007-2931 を参照してください。
「MSN Messenger Web カメラまたはビデオ チャット セッションのリモートでコードが実行される脆弱性」の問題を緩和する要素 - CVE-2007-2931
軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。
- この脆弱性を悪用するには、攻撃者は MSN Messenger または Windows Live Messenger メッセージで Web カメラまたはビデオ チャットの招待を受け入れるようにユーザーを説得する必要があります。 攻撃者は、Web カメラまたはビデオ チャットの招待をユーザーに強制的に承諾させる方法はありません。 代わりに、攻撃者は Web カメラまたはビデオ チャットの招待を受け入れるようにユーザーを誘導する必要があります。
- 攻撃者がこの脆弱性を悪用した場合、ローカル ユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
- 2007 年 1 月にリリースされた Windows Live Messenger 8.1 のユーザーは、この脆弱性から既に保護されています。 最近リリースされた MSN Messenger 7.0.0820 のユーザーも、この脆弱性から既に保護されています。
「MSN Messenger Web カメラまたはビデオ チャット セッションのリモート コード実行の脆弱性」の回避策 - CVE-2007-2931
回避策とは、基になる脆弱性を修正しないが、アップグレードを実行する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。
ISA サーバーを使用して MSN Messenger または Windows Live Messenger トラフィックをブロックします。 Microsoft サポート技術情報の記事 925120 を参照してください。
回避策の影響。 これにより、MSN Messenger または Windows Live Messenger のトラフィックが企業に出入りするのを防ぐことができます。
MSN Messenger または Windows Live Messenger の選択ネットワーク ポートをブロックします。 Microsoft サポート技術情報の記事927847を参照してください。
回避策の影響。 これにより、管理者は、MSN Messenger または Windows Live Messenger のトラフィックを完全にブロックするのではなく、Web カメラとビデオ チャット セッションを選択的に防止できます。
「MSN Messenger Web カメラまたはビデオ チャット セッションのリモート でコードが実行される脆弱性」のよく寄せられる質問 - CVE-2007-2931
この脆弱性の範囲は何ですか?
これは、リモートでコードが実行される脆弱性です。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 攻撃者はその後、プログラムをインストールしたり、データを表示、変更、削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりする可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
この脆弱性の原因は何ですか?
この脆弱性は、MSN Messenger または Windows Live Messenger が特別に細工された Web カメラまたはビデオ チャット セッションを処理する方法に存在します。 その結果、攻撃者がログインしているユーザーのセキュリティ コンテキストで任意のコードを実行できるような方法でメモリが破損する可能性があります。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 攻撃者はその後、プログラムをインストールしたり、データを表示、変更、削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりする可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
攻撃者がこの脆弱性を悪用する方法
攻撃者は、この脆弱性を悪用するように設計された、特別に細工された Web カメラまたはビデオ チャット セッションに参加するようユーザーに招待を送信する可能性があります。 ただし、攻撃者はユーザーに Web カメラまたはビデオ チャット セッションへの参加を強制する方法はありません。 代わりに、攻撃者は Web カメラまたはビデオ チャットの招待を受け入れるようにユーザーを誘導する必要があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
この脆弱性を利用するには、ユーザーが MSN Messenger または Windows Live Messenger サービスにサインオンし、Web カメラまたはビデオ チャットの招待を受け入れて悪意のあるアクションが発生する必要があります。 したがって、ワークステーションやサーバーなど、MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、または Windows Live Messenger 8.0 が使用されているシステムは、この脆弱性の危険にさらされます。
更新プログラムは何を行いますか?
MSN Messenger 7.0.0820 と Windows Live Messenger 8.1 が、Web カメラまたはビデオ チャット セッションを十分に管理するように更新されました。
私はウェブカメラを使用しません。 それでもアップグレードする必要がありますか?
はい。 サインオンすると、MSN Messenger または Windows Live Messenger サービスから、お使いのプラットフォームに適した MSN Messenger または Windows Live Messenger クライアントにアップグレードするよう通知されます (そうしないと、
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
はい。 この脆弱性は一般に公開されています。 共通脆弱性と露出番号 CVE-2007-2931 が割り当てられます。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 Microsoft は概念実証コードの例を公開していましたが、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
情報の更新
セキュリティ更新プログラムの展開
影響を受けるソフトウェア
影響を受けるソフトウェアの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。
Windows 2000 の MSN Messenger (すべてのバージョン)
参照テーブル
次の表に、MSN Messenger 7.0.0820 にアップグレードする情報を示します。
| 前提条件 | Microsoft Windows 2000 Service Pack 4\ MSN Messenger 7.0 on Microsoft Windows 2000 Service Pack 4 の MSN Messenger 6.2 |
|---|---|
| デプロイ | MSN Messenger サービスにサインオンしたら、MSN Messenger 7.0.0820 にアップグレードするように求めるメッセージを受け入れます。\ \ また、MSN Messenger 7.0.0820 へのアップグレードを直ちにダウンロードしたいユーザーは、影響を受けるソフトウェア の表に記載されているダウンロード センターのリンクを使用して行うことができます。 これは、Microsoft Windows 2000 Service Pack 4 のサポートされているエディションの MSN Messenger 6.2 および MSN Messenger 7.0 のユーザーにのみ適用されることに注意してください。 |
| 再起動の要件 | はい。アップグレード中に、システムで複数の MSN Messenger セッションがアクティブになっているユーザーがいる場合は、アップグレード後にシステムを再起動する必要があります |
| 削除情報 | コントロール パネルで [プログラムの追加と削除] ツールを使用する |
| アップグレードの確認 | MSN Messenger 内で、[ヘルプ] をクリックし、[バージョン情報] をクリックします。 バージョン番号が 7.0.0820 であることを確認します。 |
Windows XP、Windows Server 2003、Windows Vista の MSN Messenger または Windows Live Messenger (すべてのバージョン)
参照テーブル
次の表に、Windows Live Messenger 8.1 にアップグレードするための情報を示します。
| 前提条件 | Windows XP Service Pack 2 の MSN Messenger 6.2\ Windows XP Service Pack 2\ MSN Messenger 7.0 on Windows XP Service Pack 2\ MSN Messenger 7.5 on Windows XP Service Pack 2\ Windows Live Messenger 8.0\ MSN Messenger 2\ MSN Messenger 2 Windows XP Professional x64 Edition の 6.2\ Windows XP Professional x64 Edition の MSN Messenger 7.0\ Windows XP Professional x64 Edition\ Windows Live Messenger 8.0 on Windows XP Professional x64 Edition\ MSNMessenger 6.2 on Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 7.0 on Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 7.5 on Windows XP Professional x64 Edition Service Pack 2\ Windows Live Messenger 8.5 Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 6.2 on Windows Server 2003 Service Pack 1 の場合は 0、Windows Server 2003 Service Pack 1 の場合は Windows Server 2003 Service Pack 2\ MSN Messenger 7.0Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 1 上の Windows Server 2003 Service Pack 2\ MSN Messenger 7.5 および Windows Server 2003 Service Pack 2\ Windows Live Messenger 8.0 Windows Server 2003 x64 Edition の MSN Messenger 6.2\ Windows Server 2003 x64 Edition の MSN Messenger 7.0\ Windows Server 2003 x64 Edition の MSN Messenger 7.5\ Windows Live Messenger 8.0Windows Server 2003 x64 Edition\ Windows Server 2003 x64 Edition Service Pack 2\ MSN Messenger 7.0 on Windows Server 2003 x64 Edition Service Pack 2\ MSN Messenger 6.2 on Windows Server 2003 x 2003 x Windows Server 2003 x64 Edition Service Pack 2 の 64 エディション Service Pack 2\ Windows Live Messenger 8.0\ Windows Vista の MSN Messenger 6.2\ Windows Vista の MSN Messenger 7.0\ Windows Vista の MSN Messenger 7.5\ Windows Live Messenger 8.0windows Vista x64 Edition 上の Windows Vista\ MSN Messenger 6.2\ Windows Vista x64 Edition の MSN Messenger 7.0\ Windows Vista x64 Edition の MSN Messenger 7.5\ Windows Vista x64 Edition の Windows Live Messenger 8.0 |
|---|---|
| デプロイ | MSN Messenger または Windows Live Messenger サービスにサインオンしたら、Windows Live Messenger 8.1.\ にアップグレードするように求めるメッセージを受け入れます。 \ また、Windows Live Messenger 8.1 へのアップグレードをすぐにダウンロードしたいユーザーは、影響を受けるソフトウェアの表に記載されているダウンロード センター リンクを使用して行うことができます。 これは、Microsoft Windows 2000 Service Pack 4 以降でサポートされているプラットフォームの MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5、および Windows Live Messenger 8.0 のユーザーにのみ適用されることに注意してください。 |
| 再起動の要件 | はい。アップグレード中に、システムで複数の MSN Messenger または Windows Live Messenger セッションがアクティブになっているユーザーがいる場合は、アップグレード後にシステムの再起動が必要になる場合があります |
| 削除情報 | コントロール パネルで [プログラムの追加と削除] ツールを使用する |
| アップグレードの確認 | Windows Live Messenger 内で、[ヘルプ] をクリックし、[バージョン情報] をクリックします。 バージョン番号が 8.1.0178.00 であることを確認します。 |
その他の情報
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- MSN Messenger ビデオ チャットの リモート コード実行の脆弱性を報告するチーム 509 のウー シ - CVE-2007-2931
サポート
- 米国およびカナダのお客様は、Microsoft 製品サポート サービス (1-866-PCSAFETY) からテクニカル サポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポートに対する料金はかかりません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイトを参照してください。
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2007 年 9 月 11 日): セキュリティ情報が公開されました。
- V1.1 (2007 年 9 月 12 日): Windows Live Messenger 8.1 にアップグレードするために、影響を受けるソフトウェアテーブルに追加されたダウンロード センターリンク。
ビルド日: 2014-04-18T13:49:36Z-07:00