Microsoft セキュリティ情報 MS15-114 - 重大
[アーティクル] 2024/03/18
7 人の共同作成者
フィードバック
この記事の内容
リモート コード実行に対処するための Windows ジャーナルのセキュリティ更新プログラム (3100213)
概要
影響を受けるソフトウェア
更新に関する FAQ
重大度の評価と脆弱性識別子
脆弱性情報
Windows ジャーナル ヒープ オーバーフローの脆弱性 - CVE-2015-6097
セキュリティ更新プログラムの展開
謝辞
免責情報
リビジョン
さらに 7 個を表示
リモート コード実行に対処するための Windows ジャーナルのセキュリティ更新プログラム (3100213)
公開日: 2015 年 11 月 10 日
バージョン: 1.0
このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。 この脆弱性により、ユーザーが特別に細工されたジャーナル ファイルを開いた場合に、リモートでコードが実行される可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
このセキュリティ更新プログラムは、Windows Vista および Windows 7 でサポートされているすべてのエディション、および Windows Server 2008 および Windows Server 2008 R2 でサポートされているすべての非 Itanium エディションに対して、重大と評価されます。 詳細については、「影響を受けるソフトウェア」セクションを 参照してください。
このセキュリティ更新プログラムは、Windows Journal がジャーナル ファイルを解析する方法を変更することで、この脆弱性を解決します。 脆弱性の詳細については、「脆弱性情報」セクションを 参照してください。
この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3100213を参照してください 。
次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください 。
テーブルを展開する
*更新置き換えられた列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、Microsoft Update カタログに移動し 、更新プログラムのKB (キロバイト)番号を検索して、更新プログラムの詳細を表示します (更新プログラムの置き換えられた情報は [パッケージの詳細] タブで提供されます)。
影響を受けるソフトウェア テーブルでオペレーティング システムの 1 つを実行しています。 ジャーナル更新プログラムが提供されないのはなぜですか?
更新プログラムは、Windows ジャーナルがインストールされているシステムにのみ提供されます。
注: Windows Server 2008 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。 このオペレーティング システムでは、デスクトップ エクスペリエンス機能が 有効になっているときにインストールされます。 その結果、Windows ジャーナルの更新プログラムは、デスクトップ エクスペリエンスが有効になっている場合にのみ適用されます。
注: Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。 これらのオペレーティング システムでは、Ink および Handwriting Services 機能が有効になっているときに インストールされます。 その結果、Windows ジャーナルの更新プログラムは、Ink と Handwriting Services が有効になっている場合にのみ適用されます。
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性の可能性については、11 月のセキュリティ情報の概要の Exploitability Index を参照してください。
テーブルを展開する
脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響
影響を受けるソフトウェア
Windows ジャーナル ヒープ オーバーフローの脆弱性 - CVE-2015-6097
重大度の評価の集計
Windows Vista
Windows Vista Service Pack 2 (3100213)
重要な リモート コード実行
重大
Windows Vista x64 Edition Service Pack 2 (3100213)
重要な リモート コード実行
重大
Windows Server 2008
Windows Server 2008 for 32 ビット システム Service Pack 2 (3100213)
重要な リモート コード実行
重大
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (3100213)
重要な リモート コード実行
重大
Windows 7
Windows 7 for 32 ビット システム Service Pack 1 (3100213)
重要な リモート コード実行
重大
Windows 7 for x64 ベースのシステム Service Pack 1 (3100213)
重要な リモート コード実行
重大
Windows Server 2008 R2
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (3100213)
重要な リモート コード実行
重大
Windows ジャーナル ヒープ オーバーフローの脆弱性 - CVE-2015-6097
特別に細工されたジャーナル ファイルが Windows Journal で開かれると、Microsoft Windows にリモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。 ユーザーが管理者権限でログオンしている場合、攻撃者は影響を受けるシステムを制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
攻撃を成功させるには、ユーザーが影響を受けるバージョンの Windows Journal を含む特別に細工されたジャーナル ファイルを開く必要があります。 電子メール攻撃のシナリオでは、攻撃者は特別に細工されたジャーナル ファイルをユーザーに送信し、ユーザーにファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。
この更新プログラムは、Windows Journal がジャーナル ファイルを解析する方法を変更することで、この脆弱性を解決します。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。 このセキュリティ情報が最初に発行された時点では、Microsoft はこの脆弱性を悪用しようとする攻撃を認識していません。
Microsoft は、この脆弱性の 軽減要因 を特定していません。
状況によっては、次 の 回避策が役立つ場合があります。
疑わしい添付ファイルを開かない
信頼されていないソースから受信した Windows Journal (.jnt) ファイルや、信頼できるソースから予期せず受信したファイルは開かないでください。 この脆弱性は、ユーザーが特別に細工されたファイルを開いたときに悪用される可能性があります。
.jnt ファイルの種類の関連付けを削除する
対話型メソッド:
レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。 レジストリを編集する方法については、レジストリ エディター (Regedit.exe) の「キーと値の変更」ヘルプ トピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリ データの編集」ヘルプ トピックを参照してください。
対話型メソッドを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。
[スタート] ボタン、 [ファイル名を指定して実行] の順にクリックし、「regedit 」と入力して [OK] をクリックします。
HKEY_CLAS Standard Edition S_ROOT展開し 、[jntfile] をクリック し、[ファイル] メニューを クリックして [エクスポート] を選択します 。
[レジストリ ファイルのエクスポート] ダイアログ ボックスで、「jntfile HKCR ファイルの関連付けレジストリ backup.reg」と入力 し、[保存] をクリックします 。 既定では、このレジストリ キーのバックアップが [マイ ドキュメント] フォルダーに作成されます。
キーボードの Delete キーを押してレジストリ キーを削除します。 レジストリ値の削除を求められたら、[はい] をクリックします 。
HKEY_CURRENT_U Standard Edition R、Software、 Microsoft、 Windows、 CurrentVersion、 エクスプローラー、FileExts の順 に展開 します。
[.jnt ] をクリックし、[ファイル] メニューを クリックして [エクスポート] を選択します 。
[レジストリ ファイルのエクスポート] ダイアログ ボックスで、「.jntHKCU ファイルの関連付けレジストリ backup.reg」と入力 し、[保存] をクリックします 。 既定では、このレジストリ キーのバックアップが [マイ ドキュメント] フォルダーに作成されます。
キーボードの Delete キーを押してレジストリ キーを削除します。 レジストリ値の削除を求められたら、[はい] をクリックします 。
マネージド スクリプトの使用:
レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。 レジストリを編集する方法については、レジストリ エディター (Regedit.exe) の「キーと値の変更」ヘルプ トピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリ データの編集」ヘルプ トピックを参照してください。
対話型のマネージド スクリプトを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。
まず、次のコマンドを使用して、マネージド デプロイ スクリプトを使用してレジストリ キーのバックアップ コピーを作成します。
Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile
Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
次に、次のファイルを.reg拡張子を持つファイル (例: Delete_jnt_file_association.reg) に保存します。
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\jntfile]
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
次のコマンドを使用して、ターゲット コンピューターで手順 2 で作成した上記のレジストリ スクリプトを実行します。
Regedit.exe /s Delete_jnt_file_association.reg
回避策の影響。 .jnt ファイルをダブルクリックしても、journal.exeが起動しなくなります。
回避策を元に戻す方法:
レジストリ エディターを使用してレジストリ キーを復元し、保存されている設定を復元します。REG ファイル。
インストールする Windows 機能を無効にして Windows ジャーナルを削除する
Windows Vista および Windows 7 システムでは、次の手順に従います。
[スタート] をクリックし、[コントロール パネル ] をクリックし、[プログラム] をクリックします 。
[Windows 機能のオンとオフを切り替える] をクリック し、タブレット PC のオプション コンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) の チェック ボックスをオフにします。
OK をクリックします。
回避策の影響。 Windows ジャーナルがシステムから削除されます。
回避策を元に戻す方法:
Windows Vista または Windows 7 システムに Windows Journal を再インストールするには、次の手順に従います。
[スタート] をクリックし、[コントロール パネル ] をクリックし、[プログラム] をクリックします 。
[Windows 機能のオンとオフを切り替える] をクリック し、タブレット PC のオプション コンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) の チェック ボックスを選択します。
OK をクリックします。
Journal.exeへのアクセスを拒否する
Journal.exeへのアクセスを拒否するには、管理コマンド プロンプトで次のコマンドを入力します。
```
> takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"`
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
```
回避策の影響。 Windows ジャーナルにアクセスできなくなります。
回避策を元に戻す方法:
Journal.exeへのアクセスを再開するには、管理コマンド プロンプトで次のコマンドを入力します。
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone
セキュリティ更新プログラムの展開に関する情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照 してください。
Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
V1.0 (2015 年 11 月 10 日): セキュリティ情報が公開されました。
Page generated 2015-11-24 08:27-08:00.