Microsoft セキュリティ情報 MS15-011 - 重大

公開日: 2015 年 2 月 10 日 |更新日: 2015 年 3 月 11 日

バージョン: 1.1

このセキュリティ更新プログラムは、Microsoft Windows で非公開で報告された脆弱性を解決します。 この脆弱性により、攻撃者が、攻撃者が制御するネットワークに接続するように doメイン 構成されたシステムをユーザーに誘導した場合、リモートでコードが実行される可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

このセキュリティ更新プログラムは、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 でサポートされているすべてのエディションで重大と評価されます。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。

このセキュリティ更新プログラムは、グループ ポリシーが構成データを受け入れる前にメイン構成されたシステムがコントローラーに接続する方法メイン改善することで、この脆弱性を解決します。 この脆弱性の詳細については、「脆弱性情報」セクションを参照してください。

このセキュリティ情報に記載されている脆弱性から保護するには、このセキュリティ更新プログラムの展開に加えて、システム管理者による追加の構成が必要です。 この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3000483を参照してください。

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

^[1]Windows Server 2003 は影響を受けますが、更新プログラムは発行されていません。 詳細については、更新プログラムに 関する FAQ を参照してください。

^[2]この更新プログラムは、Windows Update でのみ使用できます。

この更新プログラムは追加機能をインストールしますか?
はい。 自動更新が有効になっているお客様の場合、この更新プログラムでは、Microsoft セキュリティ アドバイザリ 3004375と共に展開されている新しい機能もインストールされます。 Windows コマンド ライン監査プロセス作成ポリシーに関連する新機能は、このセキュリティ情報で対処されている脆弱性とは無関係です。 インストールが完了すると、更新プログラム3000483と3004375がインストール済みの更新プログラムとして表示されます。

重要: 更新プログラムを手動でダウンロードしてインストールする場合は、更新プログラム (3000483と3004375) の両方をインストールする必要があります。これは任意の順序でインストールできます。

Windows Server 2003 は、影響を受ける製品として一覧表示されます。Microsoft が更新プログラムを発行しないのはなぜですか?  Windows Server 2003 は影響を受ける製品ですが、必要なアーキテクチャの包括的な変更によってシステムの安定性が損なわれ、アプリケーションの互換性の問題が発生するため、Microsoft は更新プログラムを発行していません。 Microsoft では、セキュリティに配慮したお客様は、変化するセキュリティ上の脅威の状況に対応し、後のオペレーティング システムで提供されるより堅牢な保護の恩恵を受けるために、後のオペレーティング システムにアップグレードすることをお勧めします。

次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性の可能性については、2 月のセキュリティ情報の概要にある Exploitability Index を参照してください。

doメイン 参加しているシステムが doメイン コントローラーに接続したときに、グループ ポリシーがポリシー データを受信して適用する方法に、リモートでコードが実行される脆弱性が存在します。 この脆弱性を悪用するには、攻撃者が攻撃者が制御するネットワークに接続するために、doメイン 構成されたシステムを使用して被害者を誘導する必要があります。

攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御し、プログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全なユーザー権限を持つ新しいアカウントを作成します。 このセキュリティ更新プログラムは、グループ ポリシーが構成データを受け入れる前にメイン構成されたシステムがコントローラーに接続する方法メイン改善することで、この脆弱性を解決します。

この脆弱性は公開されていません。 このセキュリティ情報が発行されたとき、Microsoft は、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

Microsoft は、この脆弱性の 軽減要因 を特定していません。

Microsoft は、この脆弱性の 回避策を 特定していません。

セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2015 年 2 月 10 日): セキュリティ情報が公開されました。
• V1.1 (2015 年 3 月 11 日): Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 でサポートされているすべてのエディションで置き換えられた更新プログラムを修正するために、このセキュリティ情報が改訂されました。 これは情報の変更のみです。 更新ファイルに変更はありませんでした。 システムを既に正常に更新しているお客様は、何も行う必要はありません。

Page generated 2015-03-20 14:36Z-07:00.