セキュリティ情報
Microsoft セキュリティ情報 MS13-094 - 重要
公開日: 2013 年 11 月 12 日
バージョン: 1.0
このセキュリティ更新プログラムは、Microsoft Outlook で公開されている脆弱性を解決します。 この脆弱性により、ユーザーが影響を受けるエディションの Microsoft Outlook を使用して特別に細工された電子メール メッセージを開いたりプレビューしたりした場合に、情報漏えいが起こる可能性があります。 攻撃者がこの脆弱性を悪用した場合、ターゲット システムおよびターゲット システムとネットワークを共有する他のシステムから、IP アドレスや開いている TCP ポートなどのシステム情報を確認する可能性があります。
このセキュリティ更新プログラムは、Microsoft Outlook 2007、Microsoft Outlook 2010、Microsoft Outlook 2013、および Microsoft Outlook 2013 RT でサポートされているすべてのエディションで重要と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、Microsoft Outlook が特別に細工された S/MIME 電子メール メッセージを解析する方法を修正することで、この脆弱性を解決します。 脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。
推奨。 お客様は、Microsoft Update サービスを使用して、Microsoft Update からの更新プログラムをオンラインでチェックするように自動更新を構成できます。 自動更新を有効にして、Microsoft Update から更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、Microsoft Update から更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザーの場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、できるだけ早い機会に更新プログラムを適用することをお勧めします。
このセキュリティ情報の後半の「検出と展開のツールとガイダンス」セクションも参照してください。
| サポート技術情報の記事 | 2894514 |
|---|---|
| ファイル情報 | はい |
| SHA1/SHA2 ハッシュ | はい |
| 既知の問題 | はい |
次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。
影響を受けるソフトウェア
| Microsoft Office ソフトウェア | コンポーネント | セキュリティへの影響の最大値 | 重大度の評価の集計 | 更新置換済み |
|---|---|---|---|---|
| Microsoft Office 2007 | ||||
| Microsoft Office 2007 Service Pack 3 | Microsoft Outlook 2007 Service Pack 3 (2825644) | 情報漏えい | 重要 | MS13-068 の 2825999 |
| Microsoft Office 2010 | ||||
| Microsoft Office 2010 Service Pack 1 (32 ビット エディション) | Microsoft Outlook 2010 Service Pack 1 (32 ビット エディション) (2837597) | 情報漏えい | 重要 | MS13-068 の 2794707 |
| Microsoft Office 2010 Service Pack 2 (32 ビット エディション) | Microsoft Outlook 2010 Service Pack 2 (32 ビット エディション) (2837597) | 情報漏えい | 重要 | MS13-068 の 2794707 |
| Microsoft Office 2010 Service Pack 1 (64 ビット エディション) | Microsoft Outlook 2010 Service Pack 1 (64 ビット エディション) (2837597) | 情報漏えい | 重要 | MS13-068 の 2794707 |
| Microsoft Office 2010 Service Pack 2 (64 ビット エディション) | Microsoft Outlook 2010 Service Pack 2 (64 ビット エディション) (2837597) | 情報漏えい | 重要 | MS13-068 の 2794707 |
| Microsoft Office 2013 | ||||
| Microsoft Office 2013 (32 ビット エディション) | Microsoft Outlook 2013 (32 ビット エディション) (2837618) | 情報漏えい | 重要 | なし |
| Microsoft Office 2013 (64 ビット エディション) | Microsoft Outlook 2013 (64 ビット エディション) (2837618) | 情報漏えい | 重要 | なし |
| Microsoft Office 2013 RT | ||||
| Microsoft Office 2013 RT | Microsoft Outlook 2013 RT[1] (2837618) | 情報漏えい | 重要 | なし |
[1]この更新プログラムは、Windows Update から入手できます。
影響を受けるソフトウェア以外のソフトウェア
| Office およびその他のソフトウェア |
|---|
| Microsoft Outlook 2003 Service Pack 3 |
この更新プログラムには、機能に対するセキュリティ関連の変更が含まれていますか?
はい。 このセキュリティ情報の「脆弱性情報」セクションに記載されている変更に加えて、この更新プログラムは、レジストリ キー設定を使用して、Microsoft Outlook が機関情報アクセス (AIA) 拡張機能で参照されるリモート証明書を取得するかどうかを指定する機能を追加します。 この変更の詳細については、マイクロソフト サポート技術情報の記事2894514を参照してください。
私は私のシステムにインストールされていないソフトウェアのためにこの更新プログラムを提供されています。 この更新プログラムが提供される理由
Microsoft Office 更新プログラムのサービス モデルにより、システムにインストールされていないソフトウェアの更新プログラムが提供される場合があります。 たとえば、特定の Office 製品がインストールされていない場合でも、Microsoft Office 製品の更新プログラムが提供される場合があります。 この動作と推奨されるアクションの詳細については、Microsoft サポート技術情報の記事830335を参照してください。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
ソフトウェアの古いリリースをお持ちのお客様は、脆弱性にさらされる可能性を防ぐために、サポートされているリリースに移行することが優先されます。 ソフトウェア リリースのサポート ライフサイクルを決定するには、「ライフサイクル情報の製品を選択する」を参照してください。 これらのソフトウェア リリースのサービス パックの詳細については、「Service Pack ライフサイクル サポート ポリシー」を参照してください。
古いソフトウェアのカスタム サポートを必要とするお客様は、カスタム サポート オプションについて、Microsoft アカウント チームの担当者、テクニカル アカウント マネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。 アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。 連絡先情報については、Microsoft Worldwide Information Web サイトを参照し、[連絡先情報] リストで国を選択し、[移動] をクリックして電話番号の一覧を表示します。 お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。 詳細については、Microsoft サポート ライフサイクル ポリシーに関する FAQ を参照してください。
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性の可能性については、11 月のセキュリティ情報の概要の Exploitability Index を参照してください。 詳細については、「Microsoft Exploitability Index」を参照してください。
| 影響を受けるソフトウェア | S/MIME AIA の脆弱性 - CVE-2013-3905 | 重大度の評価の集計 |
|---|---|---|
| Microsoft Office 2007 | ||
| Microsoft Outlook 2007 Service Pack 3 | 重要な 情報の開示 | 重要 |
| Microsoft Office 2010 | ||
| Microsoft Outlook 2010 Service Pack 1 (32 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Outlook 2010 Service Pack 2 (32 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Outlook 2010 Service Pack 1 (64 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Outlook 2010 Service Pack 2 (64 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Office 2013 | ||
| Microsoft Outlook 2013 (32 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Outlook 2013 (64 ビット エディション) | 重要な 情報の開示 | 重要 |
| Microsoft Office 2013 RT | ||
| Microsoft Outlook 2013 RT | 重要な 情報の開示 | 重要 |
Microsoft Outlook が S/MIME 証明書メタデータの拡張を適切に処理しない場合、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、ターゲット システムおよびターゲット システムとネットワークを共有する他のシステムから、IP アドレスや開いている TCP ポートなどのシステム情報を確認する可能性があります。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2013-3905 を参照してください。
Microsoft は、この脆弱性の軽減要因を特定していません。
回避策とは、基になる脆弱性を修正しないが、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。
Outlook で閲覧ウィンドウを無効にする
閲覧ウィンドウを無効にすると、悪意のある S/MIME 証明書が Outlook で処理されなくなります。 これにより、Outlook で悪意のある証明書が処理されるのを防ぐことができますが、認証されたローカル ユーザーがこの脆弱性を悪用するために特別に細工されたプログラムを実行することを防ぐことはありません。 影響を受ける電子メール メッセージを開くと、悪意のある証明書が読み込まれて処理される可能性があります。
Outlook 2007 で閲覧ウィンドウを無効にするには、「閲覧ウィンドウのオンとオフを切り替える」を参照してください。
Outlook 2010 で閲覧ウィンドウを無効にするには、「閲覧ウィンドウを有効または無効にする」を参照してください。
Outlook 2013 で閲覧ウィンドウを無効にするには、「閲覧ウィンドウのオンとオフを切り替える」を参照してください。
この脆弱性の範囲は何ですか?
これは情報漏えいの脆弱性です。
この脆弱性の原因は何ですか?
この脆弱性は、Microsoft Outlook が S/MIME 証明書メタデータの拡張を適切に処理せず、システム情報を公開できる場合に発生します。
S/MIME とは
S/MIME は、セキュア/多目的インターネット メール拡張機能の略です。 S/MIME は、MIME でエンコードされたデータを安全に送受信するための一貫した方法を提供します。 S/MIME は、一般的なインターネット MIME 標準に基づいて、電子メッセージング アプリケーション用の暗号化セキュリティ サービスを提供します。認証、メッセージの整合性と配信元の否認 (デジタル署名を使用)、プライバシーとデータセキュリティ (暗号化を使用)。 詳細については、「S/MIME について」を参照してください。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ターゲット システムおよびターゲット システムとネットワークを共有する他のシステムから、IP アドレスや開いている TCP ポートなどのシステム情報を確認する可能性があります。
攻撃者がこの脆弱性を悪用する方法
電子メール攻撃のシナリオでは、攻撃者は電子メール メッセージで特別に細工された S/MIME 証明書をユーザーに送信し、ユーザーにメールをプレビューまたは開くよう誘導することで、この脆弱性を悪用する可能性があります。
この脆弱性を悪用するには、影響を受けるバージョンの Microsoft Outlook で特別に細工された電子メール メッセージをユーザーが開くかプレビューする必要があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
Microsoft Outlook が使用されているワークステーションやターミナル サーバーなどのシステムは、主に危険にさらされます。 管理者がユーザーにサーバーへのログオンとプログラムの実行を許可すると、サーバーのリスクが高くなります。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。
更新プログラムは何を行いますか?
この更新プログラムは、Microsoft Outlook が電子メール メッセージで特別に細工された S/MIME 証明書を解析する方法を修正することで、この脆弱性を解決します。
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
はい。 この脆弱性は一般に公開されています。 共通脆弱性と露出番号 CVE-2013-3905 が割り当てられます。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
管理者がセキュリティ更新プログラムをデプロイするのに役立つリソースがいくつかあります。
- Microsoft Baseline Security Analyzer (MB (メガバイト)SA) を使用すると、管理者はローカル システムとリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager は、管理者がセキュリティ更新プログラムを配布するのに役立ちます。
- Application Compatibility Toolkit に含まれる Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows 更新プログラムのテストと検証を合理化する上で役立ちます。
これらのツールと、ネットワーク間でのセキュリティ更新プログラムの展開に関するガイダンスの詳細については、「IT 担当者向けセキュリティ ツール」を参照してください。
影響を受けるソフトウェア
影響を受けるソフトウェアの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| セキュリティ更新プログラムのファイル名 | Microsoft Outlook 2007:\ outlook2007-kb2825644-fullfile-x86-glb.exe |
|---|---|
| インストール スイッチ | Microsoft サポート技術情報の記事912203を参照してください |
| 再起動の要件 | 場合によっては、この更新プログラムを再起動する必要はありません。 必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生した場合は、再起動を推奨するメッセージが表示されます。\ \ 再起動が必要になる可能性を減らすには、影響を受けるすべてのサービスを停止し、セキュリティ更新プログラムをインストールする前に、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。 |
| 削除情報 | コントロール パネルの [プログラムの追加と削除] 項目を使用します。 |
| ファイル情報 | Microsoft サポート技術情報の記事2825644を参照してください |
| レジストリ キーの検証 | 適用なし |
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| セキュリティ更新プログラムのファイル名 | Microsoft Outlook 2010 (32 ビット エディション): \ outlook2010-kb2837597-fullfile-x86-glb.exe |
|---|---|
| Microsoft Outlook 2010 (64 ビット エディション) の場合):\ outlook2010-kb2837597-fullfile-x64-glb.exe | |
| インストール スイッチ | Microsoft サポート技術情報の記事912203を参照してください |
| 再起動の要件 | 場合によっては、この更新プログラムを再起動する必要はありません。 必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生した場合は、再起動を推奨するメッセージが表示されます。\ \ 再起動が必要になる可能性を減らすには、影響を受けるすべてのサービスを停止し、セキュリティ更新プログラムをインストールする前に、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。 |
| 削除情報 | コントロール パネルの [プログラムの追加と削除] 項目を使用します。 |
| ファイル情報 | Microsoft サポート技術情報の記事2837597を参照してください |
| レジストリ キーの検証 | 適用なし |
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| セキュリティ更新プログラムのファイル名 | Microsoft Outlook 2013 (32 ビット エディション) の場合):\ outlookloc2013-kb2837618-fullfile-x86-glb.exe |
|---|---|
| Microsoft Outlook 2013 (64 ビット エディション) の場合):\ outlookloc2013-kb2837618-fullfile-x64-glb.exe | |
| インストール スイッチ | Microsoft サポート技術情報の記事912203を参照してください |
| 再起動の要件 | 場合によっては、この更新プログラムを再起動する必要はありません。 必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生した場合は、再起動を推奨するメッセージが表示されます。\ \ 再起動が必要になる可能性を減らすには、影響を受けるすべてのサービスを停止し、セキュリティ更新プログラムをインストールする前に、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。 |
| 削除情報 | コントロール パネルの [プログラムの追加と削除] 項目を使用します。 |
| ファイル情報 | Microsoft サポート技術情報の記事2837618を参照してください |
| レジストリ キーの検証 | 適用なし |
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| デプロイ | Microsoft Outlook 2013 RT の2837618更新プログラムは、Windows Update から入手できます。 |
|---|---|
| 再起動の要件 | 場合によっては、この更新プログラムを再起動する必要はありません。 必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生した場合は、再起動を推奨するメッセージが表示されます。\ \ 再起動が必要になる可能性を減らすには、影響を受けるすべてのサービスを停止し、セキュリティ更新プログラムをインストールする前に、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。 |
| 削除情報 | [コントロール パネル] をクリックし、[システムとセキュリティ] をクリックし、[Windows Update] をクリックし、[関連項目] の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。 |
| ファイル情報 | Microsoft サポート技術情報の記事2837618を参照してください |
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- N.runs プロフェッショナル GmbH の Alexander Klink が S/MIME AIA の脆弱性を報告する (CVE-2013-3905)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトに移動してください。
このセキュリティ更新プログラムのヘルプとサポートを取得する方法
- 更新プログラムのインストールに関するヘルプ: Microsoft Update のサポート
- IT プロフェッショナル向けのセキュリティ ソリューション: TechNet セキュリティのトラブルシューティングとサポート
- ウイルスやマルウェアから Windows を実行しているコンピューターを保護する: ウイルス ソリューションとセキュリティ センター
- お住まいの国に応じた現地サポート: 国際サポート
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
- V1.0 (2013 年 11 月 12 日): セキュリティ情報が公開されました。
ビルド日: 2014-04-18T13:49:36Z-07:00