セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 953818

Windows プラットフォーム上の Apple の Safari を使用した結合攻撃からのブレンドされた脅威

公開日: 2008 年 5 月 30 日 |更新日: 2009 年 4 月 14 日

バージョン: 2.0

Microsoft は、Apple の Safari for Windows がインストールされている場合に、サポートされているすべてのバージョンの Windows XP と Windows Vista でリモート でコードを実行できる、統合された脅威のパブリック レポートを調査しました。 Safari は、既定では Windows XP または Windows Vista と共にインストールされていません。個別にインストールするか、Apple Software Update アプリケーションを使用してインストールする必要があります。 Windows で Safari を実行しているお客様は、このアドバイザリを確認する必要があります。

この問題に対処するために、Microsoft セキュリティ情報 MS09-014、インターネット エクスプローラー用の累積的なセキュリティ更新プログラム (963027)、MS09-015、SearchPath の Blended Threat Vulnerability (959426) を発行しました。 セキュリティ更新プログラムのダウンロード リンクなど、この問題の詳細については、MS09-014 と MS09-015 を参照してください。

Apple サポートは、Apple の Safari 3.1.2 for Windows の脆弱性に対処するセキュリティ アドバイザリをリリースしました。 詳細については、Apple セキュリティ アドバイザリ Safari 3.1.2 for Windows のセキュリティ コンテンツについてを参照してください。

軽減要因:

• Safari がローカル ドライブにコンテンツをダウンロードする既定の場所を変更したお客様は、この組み合わされた脅威の影響を受けません。

一般情報

概要

アドバイザリの目的: お客様に最初の通知を提供し、影響を受ける Windows プラットフォームへの影響に関する追加情報を提供します。

アドバイザリの状態: アドバイザリが公開されました。

推奨事項: 推奨されるアクションを確認し、必要に応じて構成します。

このアドバイザリでは、次のソフトウェアについて説明します。

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリでは、Windows XP と Windows Vista のサポートされているすべてのエディションに影響を与えるリモート コード実行を可能にする可能性がある、ブレンドされた脅威のパブリック レポートを明確にします。 影響を受けるソフトウェアの完全な一覧については、「概要」セクションに記載されているソフトウェアを確認してください。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
この問題に対処するために、Microsoft セキュリティ情報 MS09-014、インターネット エクスプローラー用の累積的なセキュリティ更新プログラム (963027)、MS09-015、SearchPath の Blended Threat Vulnerability (959426) を発行しました。

この脅威の原因は何ですか?
Safari の既定のダウンロード場所と、Windows デスクトップが実行可能ファイルを処理する方法の組み合わせにより、ファイルがユーザーのコンピューターにダウンロードされ、ファイルを実行できるように、ユーザーのコンピューターにダウンロードされる可能性がある、ブレンドされた脅威が作成されます。 Safari は、スタンドアロン インストールとして、または Apple Software Update アプリケーションを通じて利用できます。

攻撃者はこの関数を使用して何を行う可能性がありますか?
攻撃者は、ユーザーのコンピューターにコンテンツをダウンロードし、ログオンユーザーと同じアクセス許可を使用してコンテンツをローカルで実行できる、特別に細工された Web サイトにユーザーを誘導する可能性があります。

推奨されるアクション

• Microsoft セキュリティ情報 MS09-014、インターネット エクスプローラー用の累積的なセキュリティ更新プログラム (963027)、MS09-015、SearchPath の Blended Threat Vulnerability で、環境に適用される特権の昇格 (959426) の更新プログラムを適用します。
• Windows で Apple Safari を使用している場合は、バージョン 3.1.2 以降であることを確認してください。 Apple Safari の最新の更新プログラムは、Apple Safari ダウンロードで入手できます。
• このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認します。

対処方法

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、次のセクションで確認できます。

• Safari のコンテンツのダウンロード場所を新しく作成されたディレクトリに変更する
  1. c:\SafariDownload などの新しいディレクトリを作成します。
  2. Safari で[編集]をクリックし、[環境設定]をポイントします。
  3. [ダウンロードしたファイルを保存先]:オプションで、新しく作成したディレクトリを選択します。

その他の情報

確認：

• 私たちと一緒に作業し、Safari と Microsoft インターネット エクスプローラーのブレンドされた脅威を報告するためのテルアビブ ラフ

リソース:

• フォームに入力すると、Microsoft のヘルプとサポートにアクセスしてフィードバックを 提供できます。お問い合わせください。
• 米国およびカナダのお客様は、Microsoft 製品サポート サービスからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• V1.0 (2008 年 5 月 30 日): アドバイザリが公開されました。
• V1.1 (2008 年 6 月 6 日): 回避策の手順を変更し、受信確認を追加しました。
• V1.2 (2008 年 6 月 20 日): アドバイザリが更新され、関連する Apple セキュリティ アドバイザリへのリンクが提供されました。
• V1.3 (2008 年 7 月 2 日): 推奨されるアクションを更新しました。
• V2.0 (2009 年 4 月 14 日): このアドバイザリの問題に対処する MS09-014 および MS09-015 への参照とリンクを追加しました。

ビルド日: 2014-04-18T13:49:36Z-07:00