Launch Printer Friendly Page Security TechCenter > セキュリティ情報 > マイクロソフト セキュリティ情報 MS12-058

マイクロソフト セキュリティ情報 MS12-058 - 緊急

Microsoft Exchange Server WebReady ドキュメント表示の脆弱性により、リモートでコードが実行される (2740358)

公開日: | 最終更新日:

バージョン: 2.2

概説

概要

このセキュリティ更新プログラムは一般に公開された Microsoft Exchange Server WebReady ドキュメント表示の脆弱性を解決します。この脆弱性により、ユーザーが特別な細工がされたファイルを Outlook Web App (OWA) を使用してプレビュー表示した場合に、Exchange Server のトランスコーディング サービスのセキュリティ コンテキストでリモートでコードが実行される可能性があります。WebReady ドキュメント表示で使用される Exchange のトランスコーディング サービスは LocalService アカウントで実行されます。LocalService アカウントはローカル コンピューターの最小限の権限しか持たないアカウントで、ネットワーク上では匿名の資格情報を提示します。

このセキュリティ更新プログラムは、Microsoft Exchange Server 2007 および Microsoft Exchange Server 2010 のすべてのサポートされているエディションについて、深刻度は「緊急」です。詳細については、このセクションのサブセクション「影響を受けるソフトウェアと影響を受けないソフトウェア」を参照してください。

このセキュリティ更新プログラムは、影響を受ける Oracle Outside In ライブラリを影響を受けないバージョンに更新することにより、この脆弱性を解決します。これらの脆弱性の詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問(FAQ)」を参照してください。

このセキュリティ更新プログラムは、Microsoft Exchange Server の影響を受けるエディションに対し、最初にマイクロソフト セキュリティ アドバイザリ 2737111 で説明されている脆弱性も解決します。

推奨する対応策: お客様は Microsoft Update サービスを使用して Microsoft Update からオンラインで更新プログラムをチェックするための自動更新を構成することができます。Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、特に操作をする必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で Microsoft Update で確認し、インストールする必要があります。サポートされているエディションの Windows XP および Windows Server 2003 の自動更新の特定の構成オプションの詳細については、マイクロソフト サポート技術情報 294871 を参照してください。Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のサポートされているエディションの自動更新の詳細については、「Windows 自動更新とは」を参照してください。

管理者およびエンタープライズ インストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザーについては、マイクロソフトは更新プログラム管理ソフトウェアまたは Microsoft Update サービスを使用して更新プログラムを確認してこの累積的な更新プログラムを直ちに適用することを推奨します。

このセキュリティ情報の後半の「検出および展開ツールとガイダンス」を参照してください。

既知の問題: なし

影響を受けるソフトウェアおよび影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、マイクロソフト サポート ライフサイクルの Web サイトを参照してください。

影響を受けるソフトウェア

ソフトウェア最も深刻な脆弱性の影響総合的な深刻度置き換えられる更新プログラム
Microsoft サーバー ソフトウェア
Microsoft Exchange Server 2007 Service Pack 3 
(KB2756497)
リモートでコードが実行される緊急なし
Microsoft Exchange Server 2010 Service Pack 1 
(KB2756496)
リモートでコードが実行される緊急なし
Microsoft Exchange Server 2010 Service Pack 2 
(KB2756485)
リモートでコードが実行される緊急なし

影響を受けないソフトウェア

Microsoft サーバー ソフトウェア
Microsoft Exchange Server 2003 Service Pack 2 

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の情報

深刻度および脆弱性識別番号

Oracle Outside In の悪用される恐れのある複数の脆弱性

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

  • Oracle Outside In の複数の脆弱性 (CVE-2012-1766、CVE-2012-1767、CVE-2012-1768、CVE-2012-1769、CVE-2012-1770、CVE-2012-1771、CVE-2012-1772、CVE-2012-1773、CVE-2012-3106、CVE-2012-3107、CVE-2012-3108、CVE-2012-3109、および CVE-2012-3110) についてマイクロソフトと協力してくださった CERT/CC の Will Dorman 氏

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

サポート

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/08/15):このセキュリティ情報ページを公開しました。
  • V2.0 (2012/10/10):このセキュリティ情報を更新し、Microsoft Exchange Server 2007 Service Pack 3 (KB2756497)、Microsoft Exchange Server 2010 Service Pack 1 (KB2756496)、および Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) に適用する更新プログラムの再リリースを提供しました。お客様は、マイクロソフト セキュリティ アドバイザリ 2749655 で説明したデジタル証明書の問題を回避するために再リリースされた更新プログラムを適用する必要があります。
  • V2.1 (2012/10/12):このセキュリティ情報を更新し、再リリースされた更新プログラム KB2756497、KB2756496、KB2756485 について、適用のガイダンスを提供するためのエントリを FAQ に追加しました。詳細については、更新プログラムに関する FAQ を参照してください。
  • V2.2 (2012/11/21):このセキュリティ情報ページを更新し、KB2756497 および KB2756496 について、更新プログラム パッケージ名、レジストリ キーの確認、ログ ファイル名を修正しました。これらは、いずれも情報のみの変更です。ダウンロード ページおよび関連するサポート技術情報では既に正しい情報を提供しています。