マイクロソフト セキュリティ情報 MS07-061 - 緊急
Windows URI 処理の脆弱性により、リモートでコードが実行される (943460)
公開日: | 最終更新日:
バージョン: 1.0
概説
要点
この更新プログラムは一般に報告された脆弱性を解決します。リモートでコードが実行される脆弱性が、Windows シェルが特別に細工された URI を処理する方法にあります。Windows シェルがこれらの URI を十分に確認しない場合、攻撃者によりこの脆弱性が悪用され、任意のコードが実行される可能性があります。マイクロソフトは Internet Explorer 7 を使用しているコンピュータ上でのみこの脆弱性が悪用される方法を確認していますが、この脆弱性は Windows ファイルである Shell32.dll に存在しています。このファイルは Windows XP および Windows Server 2003 のすべてのサポートされているエディションに含まれています。
これは、すべてのサポートされているエディションの Windows XP および Windows Server 2003 向けの「緊急」のセキュリティ更新プログラムです。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。
このセキュリティ更新プログラムは Windows シェルが無効な URI を処理する方法を変更することにより、この脆弱性を解決します。この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
推奨する対応策: マイクロソフトは、お客様に直ちにこの更新プログラムを適用することを推奨します。
既知の問題: サポート技術情報 943460 で、このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題に関して説明されています。また、このサポート技術情報では、これらの問題に対する推奨される解決策に関する説明も記載しています。
影響を受けるソフトウェアおよび影響を受けないソフトウェア
ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。そのほかのバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中の製品およびバージョンのサポート ライフサイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧ください。
このセキュリティ更新プログラムは最初に マイクロソフト セキュリティ アドバイザリ 943521で説明した脆弱性も解決します。詳細情報は次の「脆弱性の情報」のセクションの特定の脆弱性についての「よく寄せられる質問」をご覧ください。
影響を受けるソフトウェアおよびダウンロード先:
このマークをクリックして、PC/AT 互換機用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
| オペレーティング システム | PC/AT | 最も深刻な脆弱性の影響 | 総合的な深刻度 | この更新プログラムによって置き換えられるセキュリティ情報 |
|---|---|---|---|---|
| Windows XP Service Pack 2 | | リモートでコードが実行される | 緊急 | MS06-045 |
| Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2 | | リモートでコードが実行される | 緊急 | MS06-045 |
| Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 | | リモートでコードが実行される | 緊急 | MS06-045 |
| Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2 | | リモートでコードが実行される | 緊急 | MS06-045 |
| Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems | | リモートでコードが実行される | 緊急 | MS06-045 |
影響を受けないソフトウェア :
| オペレーティング システム |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows Vista |
| Windows Vista x64 |
このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)
脆弱性の情報
深刻度および脆弱性識別番号:
Windows URI 処理の脆弱性 - CVE-2007-3896
更新プログラムに関する情報
検出および適用ツールとガイダンス
セキュリティ更新プログラムの展開
関連情報
謝辞
この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。
- Windows URI 処理の脆弱性 - CVE-2007-3896 についてマイクロソフトに協力してくださった Jesper Johansson 氏
- Windows URI 処理の脆弱性 - CVE-2007-3896 についてマイクロソフトに協力してくださった Secunia の Carsten H. Eiram 氏
- Windows URI 処理の脆弱性 - CVE-2007-3896 についてマイクロソフトに協力してくださった Finjan の Aviv Raff 氏
- Windows URI 処理の脆弱性 - CVE-2007-3896 についてマイクロソフトに協力してくださった GNUCITIZEN の Petko Petkov 氏
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センターマイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償でサポートをご提供いたします。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
免責条項
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴:
- 2007/11/14: このセキュリティ情報ページを公開しました。
- 2007/11/22: セキュリティ情報を更新し、このセキュリティ情報が MS06-045 だけに置き換わり、MS07-006 には置き換わらないことを追加しました。
- 2008/01/17 : セキュリティ情報を更新し、「概要」セクションの「既知の問題」にサポート技術情報を追加しました。