Microsoft セキュリティ情報 MS14-055 - 重要
Microsoft Lync Server の脆弱性により、サービス拒否 (2990928) が発生する可能性があります
公開日: 2014 年 9 月 9 日 |更新日: 2014 年 9 月 23 日
バージョン: 3.0
一般情報
概要
このセキュリティ更新プログラムは、Microsoft Lync Server で非公開で報告された 3 つの脆弱性を解決します。 これらの脆弱性の中で最も深刻なものは、攻撃者が特別に細工された要求を Lync サーバーに送信した場合にサービス拒否を引き起こした可能性があります。
このセキュリティ更新プログラムは、Microsoft Lync Server 2010 および Microsoft Lync Server 2013 でサポートされているすべてのエディションで重要と評価されます。 詳細については、「影響を 受けるソフトウェア 」および「影響を受けるソフトウェア」セクションを参照してください。
このセキュリティ更新プログラムは、Lync Server がユーザー入力をサニタイズする方法を修正し、Lync Server が例外と null 逆参照を処理する方法を修正することで、この脆弱性を解決します。 これらの脆弱性の詳細については、このセキュリティ情報の後半にある特定の 脆弱性に関するよく寄せられる質問 (FAQ) のサブセクションを参照してください。
推奨。 お客様は、Microsoft Update サービスを使用して、Microsoft Update からの更新プログラムをオンラインでチェックするように自動更新を構成できます。 自動更新を有効にして、Microsoft Update から更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、Microsoft Update から更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして更新プログラムを適用することをお勧めします。 この更新プログラムは、このセキュリティ情報の後の「影響を受けるソフトウェア」の表のダウンロード リンクからも入手できます。
このセキュリティ情報の後半の「検出と展開のツールとガイダンス」セクションも参照してください。
サポート技術情報の記事
- サポート技術情報の記事: 2990928
- ファイル情報: はい
- SHA1/SHA2 ハッシュ: はい
- 既知の問題: はい
影響を受けるソフトウェアと影響を受けないもの
次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。
影響を受けるソフトウェア
| ソフトウェア | セキュリティへの影響の最大値 | 重大度の評価の集計 | 更新置換済み |
|---|---|---|---|
| Microsoft Lync Server 2010 | |||
| Microsoft Lync Server 2010 (Server) (2982385) | なし | 重大度評価なし[1] | なし |
| Microsoft Lync Server 2010 (応答グループ サービス) (2982388) | サービス拒否 | 重要 | なし |
| Microsoft Lync Server 2013 | |||
| Microsoft Lync Server 2013 (Server) (2986072) | サービス拒否 | 重要 | なし |
| Microsoft Lync Server 2013 (応答グループ サービス) (2982389) | サービス拒否 | 重要 | なし |
| Microsoft Lync Server 2013 (コア コンポーネント) (2992965) | サービス拒否 | 重要 | なし |
| Microsoft Lync Server 2013 (Web コンポーネント サーバー) (2982390) | 情報漏えい | 重要 | MS14-032 の 2963288 |
[1]重大度レーティングは、指定されたソフトウェアのこの更新プログラムには適用されません。ただし、Microsoft では、多層防御策として、このソフトウェアのお客様にこのセキュリティ更新プログラムを適用して、将来特定される可能性のある新しい攻撃ベクトルから保護することをお勧めします。
影響を受けるソフトウェア以外のソフトウェア
| 通信プラットフォームとソフトウェア |
|---|
| Microsoft Communicator 2005 |
| Microsoft Communicator 2005 Web Access |
| Microsoft Communicator 2007 |
| Microsoft Communicator 2007 Web Access |
| Microsoft Communications Server 2007 |
| Microsoft Communications Server 2007 Speech Server |
| Microsoft Communications Server 2007 R2 |
| Microsoft Communicator 2007 R2 |
| Microsoft Communicator 2007 R2 Attendant |
| Microsoft Communicator 2007 R2 グループ チャット 管理 |
| Microsoft Communicator 2007 R2 グループ チャット クライアント |
| Microsoft Live Meeting 2007 コンソール |
| Microsoft Communicator for Mac 2011 |
| Microsoft Communicator Mobile |
| Microsoft Communicator 電話 Edition |
| Microsoft Lync 2010 (32 ビット) |
| Microsoft Lync 2010 (64 ビット) |
| Microsoft Lync 2010 Attendee (管理者レベルのインストール) |
| Microsoft Lync 2010 Attendee (ユーザー レベルのインストール) |
| Microsoft Lync 2010 Attendant (32 ビット) |
| Microsoft Lync 2010 Attendant (64 ビット) |
| Microsoft Lync 2010 グループ チャット |
| Microsoft Lync Server 2010 グループ チャット ソフトウェア開発キット |
| Microsoft Lync for Mac 2011 |
| Microsoft Lync 2013 (32 ビット) |
| Microsoft Lync Basic 2013 (32 ビット) |
| Microsoft Lync 2013 (64 ビット) |
| Microsoft Lync Basic 2013 (64 ビット) |
更新に関する FAQ
2014 年 9 月 23 日にこのセキュリティ情報が改訂された理由
Microsoft は、Microsoft Lync Server 2010 用の 2982385 セキュリティ更新プログラム ファイル (server.msp) の再提供を発表するために、このセキュリティ情報を再リリースしました。 再リリースされた更新プログラムは、ユーザーが server.msp ファイルを正常にインストールすることを妨げている元のオファリングの問題に対処します。 元の更新プログラムをインストールしようとしたお客様は、2982385更新プログラムを再提供し、できるだけ早く適用することをお勧めします。
2014 年 9 月 15 日にこのセキュリティ情報が改訂された理由
Microsoft は、ユーザーが Microsoft Lync Server 2010 のセキュリティ更新プログラムの2982385を正常にインストールすることを妨げる既知の問題に対処するために、このセキュリティ情報を改訂しました。 Microsoft は、この更新プログラムのインストールに関連する動作を調査しており、詳細が利用可能になったときにこのセキュリティ情報を更新します。 追加の予防措置として、Microsoft は2982385セキュリティ更新プログラムへのダウンロード リンクを削除しました。
Microsoft Lync Server 2010 または Microsoft Lync Server 2013 の場合、このセキュリティ情報に記載されている更新プログラムをインストールするための前提条件はありますか?
はい。 Microsoft Lync Server 2010 または Microsoft Lync Server 2013 の更新プログラムをインストールする前に、Lync (または OCS) サーバー用の最新の一般公開された累積的な更新をインストールする必要があります。 自動更新が有効になっているお客様は、累積的な更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 スタンドアロン パッケージを手動でテストしてインストールするお客様は、システムに該当する更新プログラムをインストールする前に、最新の一般公開された更新プログラムがインストールされていることを確認する必要があります。
詳細については、以下を参照してください:
- Lync Server 2013 の場合: https:
- Lync Server 2010 の場合: </https:>https:
この更新プログラムは、報告された複数のセキュリティ脆弱性に対処する理由
この更新プログラムには、これらの問題に対処するために必要な変更が関連ファイルに含まれているため、いくつかの脆弱性のサポートが含まれています。
影響を受ける一部のソフトウェアで複数の更新プログラム パッケージを使用できるのはなぜですか?
このセキュリティ情報に記載されている脆弱性に対処するために必要な更新プログラムは、Microsoft Lync ソフトウェアのコンポーネント化されたサービス モデルのため、影響を受けるソフトウェアの表に示されているように、さまざまな更新プログラム パッケージで提供されます。
Microsoft Lync Server 2010 および Microsoft Lync Server 2013 では、複数の更新プログラム パッケージを使用できます。 ソフトウェアの影響を受けるソフトウェアの表に記載されているすべての更新プログラムをインストールする必要がありますか?
はい。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
これらのセキュリティ更新プログラムを特定の順序でインストールする必要がありますか?
いいえ。 1 つのバージョンの Microsoft Lync Server ソフトウェアの複数の更新プログラムを任意の順序で適用できます。
システムで実行している Microsoft Lync Server のバージョンに一覧表示されているすべての更新プログラムが提供されないのはなぜですか?
Microsoft Lync Server 2010 または Microsoft Lync Server 2013 の更新プログラムは、該当するコンポーネントがインストールされているシステムにのみ提供されます。 たとえば、応答グループ サービスがシステムにインストールされていない場合、Lync Server 2013 の更新プログラム2982389や Lync Server 2010 の更新プログラム 2982388は提供されません。
この更新プログラムには、セキュリティ関連の追加の変更が含まれていますか?
はい。 このセキュリティ情報の「脆弱性情報」セクションに記載されている変更に加えて、この更新プログラムには、セキュリティ関連機能の向上に役立つ Microsoft Lync Server の多層防御更新プログラムが含まれています。
多層防御とは
情報セキュリティでは、多層防御とは、攻撃者がネットワークまたはシステムのセキュリティを侵害するのを防ぐために複数の防御層が配置されるアプローチを指します。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
ソフトウェアの古いリリースをお持ちのお客様は、脆弱性にさらされる可能性を防ぐために、サポートされているリリースに移行することが優先されます。 ソフトウェア リリースのサポート ライフサイクルを決定するには、「ライフサイクル情報の製品を選択する」を参照してください。 これらのソフトウェア リリースのサービス パックの詳細については、「Service Pack ライフサイクル サポート ポリシー」を参照してください。
古いソフトウェアのカスタム サポートを必要とするお客様は、カスタム サポート オプションについて、Microsoft アカウント チームの担当者、テクニカル アカウント マネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。 アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。 連絡先情報については、Microsoft Worldwide Information Web サイトを参照し、[連絡先情報] リストで国を選択し、[移動] をクリックして電話番号の一覧を表示します。 お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。 詳細については、Microsoft サポート ライフサイクル ポリシーに関する FAQ を参照してください。
重大度の評価と脆弱性識別子
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性に関する情報については、9 月のセキュリティ情報の概要にある Exploitability Index を参照してください。 詳細については、「Microsoft Exploitability Index」を参照してください。
| 脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響 | ||||
|---|---|---|---|---|
| 影響を受けるソフトウェア | Lync のサービス拒否の脆弱性 - CVE-2014-4068 | Lync XSS の情報漏えいの脆弱性 - CVE-2014-4070 | Lync のサービス拒否の脆弱性 - CVE-2014-4071 | 重大度の評価の集計 |
| Microsoft Lync Server 2010 (Server) | 重大度評価なし | 重大度評価なし | 重大度評価なし | 重大度評価なし |
| Microsoft Lync Server 2010 (応答グループ サービス) | 重要な サービス拒否 | 適用なし | 適用なし | 重要 |
| Microsoft Lync Server 2013 (Server) | 適用なし | 適用なし | 重要な サービス拒否 | 重要 |
| Microsoft Lync Server 2013 (応答グループ サービス) | 重要な サービス拒否 | 適用なし | 適用なし | 重要 |
| Microsoft Lync Server 2013 (コア コンポーネント) | 重要な サービス拒否 | 適用なし | 適用なし | 重要 |
| Microsoft Lync Server 2013 (Web コンポーネント サーバー) | 適用なし | 重要な 情報の開示 | 適用なし | 重要 |
Lync のサービス拒否の脆弱性 - CVE-2014-4068
Lync Server にサービス拒否の脆弱性が存在します。 攻撃者がこの脆弱性を悪用すると、影響を受けるシステムが応答を停止する可能性があります。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2014-4068 を参照してください。
軽減要因
Microsoft は、この脆弱性の軽減要因を特定していません。
対処方法
Microsoft は、この脆弱性の回避策を特定していません
よく寄せられる質問
この脆弱性の範囲は何ですか?
これはサービス拒否の脆弱性です。
この脆弱性の原因は何ですか?
この脆弱性は、Lync Server が特定の例外を不適切に処理した場合に発生します。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用すると、ターゲット システムが応答を停止する可能性があります。
攻撃者がこの脆弱性を悪用する方法
リモートの認証されていない攻撃者は、不適切に処理された例外をトリガーするために特別に細工された呼び出しを実行することにより、この脆弱性を悪用する可能性があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
影響を受けるエディションの Microsoft Lync Server がインストールされているシステムおよびそれらに接続する Lync クライアントは、この脆弱性の危険にさらされます。
更新プログラムは何を行いますか?
この更新プログラムは、Lync Server が例外を処理する方法を修正することで、この脆弱性を解決します。
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
Lync XSS の情報漏えいの脆弱性 - CVE-2014-4070
Lync Server が特別に細工されたコンテンツを適切にサニタイズできない場合に、情報漏えいにつながる可能性があるクロスサイト スクリプティング (XSS) の脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、ユーザーのブラウザーでスクリプトを実行して Web セッションから情報を取得する可能性があります。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2014-4070 を参照してください。
軽減要因
Microsoft は、この脆弱性の軽減要因を特定していません。
対処方法
回避策とは、基になる脆弱性を修正しないが、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。
プレーンテキストで電子メール メッセージを読み取る
電子メール攻撃ベクトルから身を守るために、プレーンテキスト形式で電子メール メッセージを読み取ります。Microsoft Outlook 2013 および Microsoft Outlook 2010 ユーザーは、この設定を有効にして、デジタル署名されていない電子メール メッセージや、プレーン テキストのみで暗号化されていない電子メール メッセージを表示できます。 デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージは、設定の影響を受けず、元の形式で読み取ることができます。ただし、ユーザーはこれらのメッセージをプレーンテキストで表示することもできます。 この設定を有効にする方法の詳細については、次を参照してください。
回避策の影響。 プレーンテキスト形式で表示されるメール メッセージには、画像、特殊なフォント、アニメーション、その他のリッチ コンテンツは含まれません。
さらに、
変更がプレビュー ウィンドウに適用され、メッセージが開きます。
画像が失われないように添付ファイルになります。
メッセージはストア内のリッチ テキスト形式または HTML 形式のままであるため、オブジェクト モデル (カスタム コード ソリューション) が予期せず動作する可能性があります。
インターネットとローカル イントラネットのセキュリティ ゾーンの設定を "高" に設定して、これらのゾーンの ActiveX コントロールと Active Scripting をブロックします
インターネット セキュリティ ゾーンの設定を変更して ActiveX コントロールと Active Scripting をブロックすることで、これらの脆弱性の悪用から保護することができます。 これを行うには、ブラウザーのセキュリティを [高] に設定します。インターネット エクスプローラーで閲覧セキュリティ レベルを上げるには、次の手順に従います。
- [インターネット エクスプローラー ツール] メニューの [インターネット オプション] をクリックします。
- [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[インターネット] をクリックします。
- このゾーンの [セキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
- [ローカル イントラネット] をクリックします。
- このゾーンの [セキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
- [OK] をクリックして変更を受け入れ、インターネット エクスプローラーに戻ります。
注: スライダーが表示されない場合は、[既定のレベル] をクリックし、スライダーを [高] に移動します。
注: レベルを High に設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されている場合でも、サイトが正しく動作できるようになります。
回避策の影響。 ActiveX コントロールと Active Scripting をブロックするには、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたはアクティブ スクリプトのブロックは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。
信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する
インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールとアクティブ スクリプトをブロックするようにインターネット エクスプローラーを設定した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃から身を守りながら、現在とまったく同じように信頼された Web サイトを引き続き使用できるようになります。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。
この操作を行うには、次の手順に従います。
- インターネット エクスプローラーで、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
- [Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします。
- 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
- [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします。
- ゾーンに追加するサイトごとに、これらの手順を繰り返します。
- [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。
注: 信頼できるサイトを追加して、システムに対して悪意のあるアクションを実行しないようにします。 具体的には、*.windowsupdate.microsoft.com と *.update.microsoft.com の 2 つを追加できます。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。
よく寄せられる質問
この脆弱性の範囲は何ですか?
これは情報漏えいの脆弱性です。
この脆弱性の原因は何ですか?
この脆弱性は、Lync Server が特別に細工されたコンテンツを適切にサニタイズしない場合に発生します。
クロスサイト スクリプティングとは
クロスサイト スクリプティング (XSS) は、攻撃者が Web サイトを使用してユーザーのセッションにスクリプト コードを挿入できるセキュリティ脆弱性のクラスです。 この脆弱性は、HTML ページを動的に生成する Web サーバーに影響を与える可能性があります。 これらのサーバーがクッパに送り返す動的ページにブラウザー入力を埋め込む場合、これらのサーバーを操作して、悪意を持って提供されたコンテンツを動的ページに含めることができます。 これにより、悪意のあるスクリプトが実行される可能性があります。 Web ブラウザーは、信頼できるサイトを想定し、Cookie を使用して、頻繁に Web サイトに永続的な状態メイン保持することで、この問題を永続させる可能性があります。 XSS 攻撃では、Web サイトのコンテンツは変更されません。 代わりに、信頼されたサーバーに関連付けられているコンテキストでブラウザーで実行できる新しい悪意のあるスクリプトが挿入されます。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ユーザーのブラウザーでスクリプトを実行して Web セッションから情報を取得する可能性があります。
攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、ユーザーが特別に細工された URL をクリックする必要があります。
電子メール攻撃のシナリオでは、攻撃者は特別に細工された URL を含む電子メール メッセージをユーザーに送信し、特別に細工された URL をクリックするようにユーザーに誘導することにより、この脆弱性を悪用する可能性があります。
Web ベースの攻撃シナリオでは、攻撃者は特別に細工された URL を含む Web サイトをホストする必要があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツを受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 攻撃者は、特別に細工された Web サイトをユーザーに強制的に訪問させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックして攻撃者の Web サイトに誘導し、特別に細工された URL をクリックするように誘導することで、Web サイトにアクセスするように誘導する必要があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
影響を受けるエディションの Microsoft Lync Server がインストールされているシステムおよびそれらに接続する Lync クライアントは、この脆弱性の危険にさらされます。
更新プログラムは何を行いますか?
この更新プログラムは、Lync Server がユーザー入力をサニタイズする方法を修正することで、この脆弱性を解決します。
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
Lync のサービス拒否の脆弱性 - CVE-2014-4071
Lync Server にサービス拒否の脆弱性が存在します。 攻撃者がこの脆弱性を悪用すると、影響を受けるシステムが応答を停止する可能性があります。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2014-4071 を参照してください。
軽減要因
Microsoft は、この脆弱性の軽減要因を特定していません。
対処方法
Microsoft は、この脆弱性の回避策を特定していません。
よく寄せられる質問
この脆弱性の範囲は何ですか?
これはサービス拒否の脆弱性です。
この脆弱性の原因は何ですか?
この脆弱性は、Lync Server が null 逆参照を正しく処理していない場合に発生します。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用すると、ターゲット システムが応答を停止する可能性があります。
攻撃者がこの脆弱性を悪用する方法
リモートの認証されていない攻撃者は、特別に細工された要求を Lync サーバーに送信することにより、この脆弱性を悪用する可能性があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
影響を受けるエディションの Microsoft Lync Server がインストールされているシステムおよびそれらに接続する Lync クライアントは、この脆弱性の危険にさらされます。
更新プログラムは何を行いますか?
この更新プログラムは、Lync Server が null 逆参照を処理する方法を修正することで、この脆弱性を解決します。
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
検出と展開のツールとガイダンス
管理者がセキュリティ更新プログラムをデプロイするのに役立つリソースがいくつかあります。
- Microsoft Baseline Security Analyzer (MB (メガバイト)SA) を使用すると、管理者はローカル システムとリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager は、管理者がセキュリティ更新プログラムを配布するのに役立ちます。
- Application Compatibility Toolkit に含まれる Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows 更新プログラムのテストと検証を合理化する上で役立ちます。
これらのツールと使用可能なその他のツールの詳細については、「IT 担当者向けのセキュリティ ツール」を参照してください。
セキュリティ更新プログラムの展開
Microsoft Lync Server 2010
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| セキュリティ更新プログラムのファイル名 | Microsoft Lync Server 2010 (2982385):\ server.msp |
|---|---|
| \ | Microsoft Lync Server 2010 (2982388):\ rgs.msp |
| インストール スイッチ | Microsoft サポート技術情報の記事197147を参照してください |
| 再起動の要件 | この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。 |
| 削除情報 | コントロール パネルの [プログラムの追加と削除] 項目を使用します。 |
| ファイル情報 | Microsoft サポート技術情報の記事2982385\ サポート技術情報の記事を参照してください 2982388 |
| レジストリ キーの検証 | Microsoft Lync Server 2010 (server.msp):\ HKLM\Software\Microsoft\Real-Time Communications{A593FD00-64F1-4288-A6F4-E699ED9DCA35}\Version = 4.0.7577.276 |
| \ | Microsoft Lync Server 2010 (rgs.msp)\HKLM\Software\Microsoft\Real-Time Communications{{11CFB169-07EA-489D-BF8C-D8D29525720E}\Version = 4.0.7577.276 |
Microsoft Lync Server 2013
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
| セキュリティ更新プログラムのファイル名 | Microsoft Lync Server 2013 (2986072):\ server.msp |
|---|---|
| \ | Microsoft Lync Server 2013 (2982389):\ rgs.msp |
| \ | Microsoft Lync Server 2013 (2992965):\ OCSCore.msp |
| \ | Microsoft Lync Server 2013 (2982390):\ WebComponents.msp |
| インストール スイッチ | Microsoft サポート技術情報の記事197147を参照してください |
| 再起動の要件 | この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。 |
| 削除情報 | コントロール パネルの [プログラムの追加と削除] 項目を使用します。 |
| ファイル情報 | Microsoft サポート技術情報の記事 2986072\ Microsoft サポート技術情報の記事 2982389を参照してください\Microsoft サポート技術情報の記事2992965を参照してください\ マイクロソフト サポート技術情報の記事を参照してください2982390 |
| レジストリ キーの検証 | Microsoft Lync Server 2013 (server.msp)\HKLM\Software\Microsoft\Real-Time Communications{A593FD00-64F1-4288-A6F4-E699ED9DCA35}\Version = 5.0.8308.803 |
| \ | Microsoft Lync Server 2013 (rgs.msp):\ HKLM\Software\Microsoft\Real-Time Communications{11CFB169-07EA-489D-BF8C-D8D29525720E}\Version = 5.0.8308.803 |
| \ | Microsoft Lync Server 2013 (OCSCore.msp) の場合:\ HKLM\Software\Microsoft\Real-Time Communications{A766C25B-A1D1-4711-A726-AC3E7CA4AAB3}\Version = 5.0.8308.803 |
| \ | Microsoft Lync Server 2013 (WebComponents.msp):\ HKLM\Software\Microsoft\Real-Time Communications{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}\Version = 5.0.8308.803 |
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- Lync サービス拒否の 脆弱性を報告するための電気通信ソフトウェア GmbH の Peter Schraffl (CVE-2014-4068)
- Noam Rathaus、Beyond Security の SecuriTeam Secure Disclosure チームと協力して、Lync XSS の情報漏えいの脆弱性を報告する (CVE-2014-4070)
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトに移動してください。
サポート
このセキュリティ更新プログラムのヘルプとサポートを取得する方法
- 更新プログラムのインストールに関するヘルプ: Microsoft Update のサポート
- IT プロフェッショナル向けのセキュリティ ソリューション: TechNet セキュリティのトラブルシューティングとサポート
- ウイルスやマルウェアから Windows を実行しているコンピューターを保護する: ウイルス ソリューションとセキュリティ センター
- お住まいの国に応じた現地サポート: 国際サポート
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2014 年 9 月 9 日): セキュリティ情報が公開されました。
- V2.0 (2014 年 9 月 15 日): Microsoft Lync Server 2010 の Microsoft セキュリティ更新プログラム 2982385のダウンロード センター のリンクを削除するように更新されました。 詳細については、更新プログラムに関する FAQ を参照してください。
- V3.0 (2014 年 9 月 23 日): Microsoft Lync Server 2010 の2982385セキュリティ更新プログラム ファイル (server.msp) の再提供を発表するために、このセキュリティ情報が再リリースされました。 詳細については、更新プログラムに関する FAQ を参照してください。
Page generated 2014-09-22 16:30Z-07:00. </https:>