Microsoft セキュリティ情報 MS15-114 - 重大

[アーティクル]
03/18/2024

リモートコード実行に対処するための Windows ジャーナルのセキュリティ更新プログラム (3100213)

公開日: 2015 年 11 月 10 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。この脆弱性により、ユーザーが特別に細工されたジャーナルファイルを開いた場合に、リモートでコードが実行される可能性があります。システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。

このセキュリティ更新プログラムは、Windows Vista および Windows 7 でサポートされているすべてのエディション、および Windows Server 2008 および Windows Server 2008 R2 でサポートされているすべての非 Itanium エディションに対して、重大と評価されます。詳細については、「影響を受けるソフトウェア」セクションを参照してください。

このセキュリティ更新プログラムは、Windows Journal がジャーナルファイルを解析する方法を変更することで、この脆弱性を解決します。脆弱性の詳細については、「脆弱性情報」セクションを参照してください。

この更新プログラムの詳細については、マイクロソフトサポート技術情報の記事3100213を参照してください。

影響を受けるソフトウェア

次のソフトウェアバージョンまたはエディションが影響を受ける。一覧にないバージョンまたはエディションは、サポートライフサイクルを過ぎたか、影響を受けません。ソフトウェアのバージョンまたはエディションのサポートライフサイクルを確認するには、「Microsoft サポートライフサイクル」を参照してください。

オペレーティングシステム	セキュリティへの影響の最大値	重大度の評価の集計	更新置換済み*
Windows Vista
Windows Vista Service Pack 2 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
Windows Vista x64 Edition Service Pack 2 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
Windows Server 2008
Windows Server 2008 for 32 ビットシステム Service Pack 2 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
Windows 7
Windows 7 for 32 ビットシステム Service Pack 1 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
Windows 7 for x64 ベースのシステム Service Pack 1 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114
Windows Server 2008 R2
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (3100213)	リモートコードの実行	重大	MS15-098 の 3069114

*更新置き換えられた列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。置き換えられた更新プログラムの包括的な一覧については、Microsoft Update カタログに移動し、更新プログラムのKB (キロバイト)番号を検索して、更新プログラムの詳細を表示します (更新プログラムの置き換えられた情報は [パッケージの詳細] タブで提供されます)。

更新に関する FAQ

影響を受けるソフトウェアテーブルでオペレーティングシステムの 1 つを実行しています。ジャーナル更新プログラムが提供されないのはなぜですか?
更新プログラムは、Windows ジャーナルがインストールされているシステムにのみ提供されます。

注: Windows Server 2008 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。このオペレーティングシステムでは、デスクトップエクスペリエンス機能が有効になっているときにインストールされます。その結果、Windows ジャーナルの更新プログラムは、デスクトップエクスペリエンスが有効になっている場合にのみ適用されます。

注: Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。これらのオペレーティングシステムでは、Ink および Handwriting Services 機能が有効になっているときにインストールされます。その結果、Windows ジャーナルの更新プログラムは、Ink と Handwriting Services が有効になっている場合にのみ適用されます。

重大度の評価と脆弱性識別子

次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性の可能性については、11 月のセキュリティ情報の概要の Exploitability Index を参照してください。

脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響
影響を受けるソフトウェア	Windows ジャーナルヒープオーバーフローの脆弱性 - CVE-2015-6097	重大度の評価の集計
Windows Vista
Windows Vista Service Pack 2 (3100213)	重要なリモートコード実行	重大
Windows Vista x64 Edition Service Pack 2 (3100213)	重要なリモートコード実行	重大
Windows Server 2008
Windows Server 2008 for 32 ビットシステム Service Pack 2 (3100213)	重要なリモートコード実行	重大
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (3100213)	重要なリモートコード実行	重大
Windows 7
Windows 7 for 32 ビットシステム Service Pack 1 (3100213)	重要なリモートコード実行	重大
Windows 7 for x64 ベースのシステム Service Pack 1 (3100213)	重要なリモートコード実行	重大
Windows Server 2008 R2
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (3100213)	重要なリモートコード実行	重大

脆弱性情報

Windows ジャーナルヒープオーバーフローの脆弱性 - CVE-2015-6097

特別に細工されたジャーナルファイルが Windows Journal で開かれると、Microsoft Windows にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。ユーザーが管理者権限でログオンしている場合、攻撃者は影響を受けるシステムを制御する可能性があります。このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。

攻撃を成功させるには、ユーザーが影響を受けるバージョンの Windows Journal を含む特別に細工されたジャーナルファイルを開く必要があります。電子メール攻撃のシナリオでは、攻撃者は特別に細工されたジャーナルファイルをユーザーに送信し、ユーザーにファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。

この更新プログラムは、Windows Journal がジャーナルファイルを解析する方法を変更することで、この脆弱性を解決します。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。このセキュリティ情報が最初に発行された時点では、Microsoft はこの脆弱性を悪用しようとする攻撃を認識していません。

軽減要因

Microsoft は、この脆弱性の軽減要因を特定していません。

対処方法

状況によっては、次の回避策が役立つ場合があります。

疑わしい添付ファイルを開かない
信頼されていないソースから受信した Windows Journal (.jnt) ファイルや、信頼できるソースから予期せず受信したファイルは開かないでください。この脆弱性は、ユーザーが特別に細工されたファイルを開いたときに悪用される可能性があります。
.jnt ファイルの種類の関連付けを削除する

対話型メソッド:
レジストリ エディターを誤って使用すると、オペレーティングシステムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリエディターの誤用によって生じる問題を解決できるかどうかについて保証できません。リスクを理解した上でレジストリエディターを使用してください。レジストリを編集する方法については、レジストリエディター (Regedit.exe) の「キーと値の変更」ヘルプトピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリデータの編集」ヘルプトピックを参照してください。

対話型メソッドを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。
1. [スタート] ボタン、 [ファイル名を指定して実行] の順にクリックし、「regedit」と入力して [OK] をクリックします。
2. HKEY_CLAS Standard Edition S_ROOT展開し、[jntfile] をクリックし、[ファイル] メニューをクリックして [エクスポート] を選択します。
3. [レジストリファイルのエクスポート] ダイアログボックスで、「jntfile HKCR ファイルの関連付けレジストリ backup.reg」と入力し、[保存] をクリックします。 既定では、このレジストリキーのバックアップが [マイドキュメント] フォルダーに作成されます。
4. キーボードの Delete キーを押してレジストリキーを削除します。レジストリ値の削除を求められたら、[はい] をクリックします。
5. HKEY_CURRENT_U Standard Edition R、Software、Microsoft、Windows、CurrentVersion、エクスプローラー、FileExts の順に展開します。
6. [.jnt] をクリックし、[ファイル] メニューをクリックして [エクスポート] を選択します。
7. [レジストリファイルのエクスポート] ダイアログボックスで、「.jntHKCU ファイルの関連付けレジストリ backup.reg」と入力し、[保存] をクリックします。既定では、このレジストリキーのバックアップが [マイドキュメント] フォルダーに作成されます。
8. キーボードの Delete キーを押してレジストリキーを削除します。レジストリ値の削除を求められたら、[はい] をクリックします。

マネージドスクリプトの使用:
レジストリ エディターを誤って使用すると、オペレーティングシステムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリエディターの誤用によって生じる問題を解決できるかどうかについて保証できません。リスクを理解した上でレジストリエディターを使用してください。レジストリを編集する方法については、レジストリエディター (Regedit.exe) の「キーと値の変更」ヘルプトピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリデータの編集」ヘルプトピックを参照してください。

対話型のマネージドスクリプトを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。

まず、次のコマンドを使用して、マネージドデプロイスクリプトを使用してレジストリキーのバックアップコピーを作成します。

Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile
Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt

次に、次のファイルを.reg拡張子を持つファイル (例: Delete_jnt_file_association.reg) に保存します。

Windows Registry Editor Version 5.00 
[-HKEY_CLASSES_ROOT\jntfile] 
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]

次のコマンドを使用して、ターゲットコンピューターで手順 2 で作成した上記のレジストリスクリプトを実行します。
```
Regedit.exe /s Delete_jnt_file_association.reg
```

回避策の影響。 .jnt ファイルをダブルクリックしても、journal.exeが起動しなくなります。

回避策を元に戻す方法:

レジストリエディターを使用してレジストリキーを復元し、保存されている設定を復元します。REG ファイル。

インストールする Windows 機能を無効にして Windows ジャーナルを削除する

Windows Vista および Windows 7 システムでは、次の手順に従います。

[スタート] をクリックし、[コントロールパネル] をクリックし、[プログラム] をクリックします。
[Windows 機能のオンとオフを切り替える] をクリックし、タブレット PC のオプションコンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) のチェックボックスをオフにします。
OK をクリックします。

回避策の影響。 Windows ジャーナルがシステムから削除されます。

回避策を元に戻す方法:

Windows Vista または Windows 7 システムに Windows Journal を再インストールするには、次の手順に従います。

[スタート] をクリックし、[コントロールパネル] をクリックし、[プログラム] をクリックします。
[Windows 機能のオンとオフを切り替える] をクリックし、タブレット PC のオプションコンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) のチェックボックスを選択します。
OK をクリックします。

Journal.exeへのアクセスを拒否する

Journal.exeへのアクセスを拒否するには、管理コマンドプロンプトで次のコマンドを入力します。
```
```
> takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"`  
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
```
```
回避策の影響。 Windows ジャーナルにアクセスできなくなります。

回避策を元に戻す方法:

Journal.exeへのアクセスを再開するには、管理コマンドプロンプトで次のコマンドを入力します。
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開に関する情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。

謝辞

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティコミュニティの人々の取り組みを認識しています。詳細については、「受信確認」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

V1.0 (2015 年 11 月 10 日): セキュリティ情報が公開されました。

Page generated 2015-11-24 08:27-08:00.