Microsoft セキュリティ情報 MS16-141 - 重大

Adobe Flash Player のセキュリティ更新プログラム (3202790)

公開日: 2016 年 11 月 8 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、サポートされているすべてのエディションの Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10、および Windows Server 2016 にインストールされている Adobe Flash Player の脆弱性を解決します。

このセキュリティ更新プログラムは重大と評価されます。 この更新プログラムは、インターネット エクスプローラー 10、インターネット エクスプローラー 11、および Microsoft Edge に含まれる影響を受ける Adobe Flash ライブラリを更新することで、Adobe Flash Player の脆弱性を解決します。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3202790を参照してください

脆弱性情報

このセキュリティ更新プログラムは、Adobe Security Bulletin APSB16-37 で説明されている次の脆弱性を解決します

CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, CVE-2016-7865

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください

オペレーティング システム コンポーネント 重大度と影響の集計 更新置換済み*
Windows 8.1
32 ビット システム用 Windows 8.1 Adobe Flash Player (3202790) 重要な リモート コード実行 MS16-128 の 3201860
x64 ベースシステム用 Windows 8.1 Adobe Flash Player (3202790) 重要な リモート コード実行 MS16-128 の 3201860
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3202790) リモート コード実行のモデレート MS16-128 の 3201860
Windows Server 2012 R2 Adobe Flash Player (3202790) リモート コード実行のモデレート MS16-128 の 3201860
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3202790)[1] 重要な リモート コード実行 MS16-128 の 3201860
Windows 10
Windows 10 for 32 ビット システム Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
Windows 10 for x64 ベースのシステム Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
32 ビット システム用 Windows 10 バージョン 1511 Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
x64 ベースシステム用 Windows 10 バージョン 1511 Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
Windows 10 Version 1607 for 32-bit Systems Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
x64 ベースシステム用 Windows 10 バージョン 1607 Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860
Windows Server 2016
64 ビット システム用 Windows Server 2016 Adobe Flash Player (3202790)[2] 重要な リモート コード実行 MS16-128 の 3201860

[1]この更新プログラムは、Windows Update から入手できます。

[2]Windows 10 更新プログラムの Adobe FlashPlayer 更新プログラムは、Windows Update または Microsoft Update カタログから入手できます。

注: このセキュリティ情報で説明されている脆弱性は、Windows Server 2016 Technical Preview 5 に影響します。 この脆弱性から保護するために、このオペレーティング システムを実行しているお客様は、現在の更新プログラムを適用することをお勧めします。この更新プログラムは Windows Update からのみ利用できます。

*更新置き換えられた列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、Microsoft Update カタログに移動し、更新プログラムのKB (キロバイト)番号を検索して、更新プログラムの詳細を表示します (更新プログラムの置き換えられた情報は [パッケージの詳細] タブで提供されます)。

よく寄せられる質問

攻撃者はどのようにしてこれらの脆弱性を悪用する可能性がありますか?
ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者はインターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Web サイトをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。 攻撃者は、IE レンダリング エンジンをホストするアプリケーションまたは Microsoft Office ドキュメントに、"初期化しても安全" とマークされた ActiveX コントロールを埋め込む可能性もあります。 攻撃者は、侵害された Web サイトや、ユーザーが提供するコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。 これらの Web サイトには、これらの脆弱性のいずれかを悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。

ユーザーが Windows 8 スタイルの UI でインターネット エクスプローラーを使用している Web ベースの攻撃シナリオでは、攻撃者はまず、互換性ビュー (CV) リストに既にリストされている Web サイトを侵害する必要があります。 攻撃者は、インターネットエクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。 インターネット エクスプローラーと CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player のコンテンツを含む Web サイトの開発者向けガイダンス」を参照してください。

軽減要因

軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。

  • ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性のいずれかを悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーを攻撃者の Web サイトに誘導する電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックするようにユーザーに誘導する必要があります。
  • Windows 8 スタイルの UI のインターネット エクスプローラーは、互換性ビュー (CV) リストに表示されているサイトからのみ Flash コンテンツを再生します。 この制限により、攻撃者はまず、CV リストに既に記載されている Web サイトを侵害する必要があります。 攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。
  • 既定では、サポートされているすべてのバージョンの Microsoft Outlook とWindows Live メールは、制限付きサイト ゾーンで HTML メール メッセージを開きます。 スクリプトと ActiveX コントロールを無効にする制限付きサイト ゾーンは、攻撃者がこれらの脆弱性のいずれかを使用して悪意のあるコードを実行できるリスクを軽減するのに役立ちます。 ユーザーが電子メール メッセージ内のリンクをクリックしても、Web ベースの攻撃シナリオを通じてこれらの脆弱性が悪用される可能性があります。
  • 既定では、Windows Server 2012 および Windows Server 2012 R2 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 このモードは、インターネット エクスプローラーでこれらの Adobe Flash Player の脆弱性が悪用される可能性を減らすのに役立ちます。

対処方法

回避策とは、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更のことです。

  • Adobe Flash Player の実行を禁止する

    レジストリでコントロールの強制終了ビットを設定することで、インターネット エクスプローラーおよび強制終了ビット機能を受け入れるその他のアプリケーション (Office 2007 や Office 2010 など) で Adobe Flash Player をインスタンス化する試行を無効にすることができます。

    警告 レジストリ エディターを正しく使用しない場合は、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの不適切な使用によって生じた問題については、解決を保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

    レジストリ内のコントロールの強制終了ビットを設定するには、次の手順を実行します。

    1. 次のコードをテキスト ファイルに貼り付け、.regファイル拡張子を付けて保存します。

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
  1. .reg ファイルをダブルクリックして、個々のシステムに適用します。 グループ ポリシーを使用して、doメイン 間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事 「グループ ポリシーコレクション」を参照してください。

注: 変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

回避策の影響。 オブジェクトがインターネット エクスプローラーで使用されることを意図していない限り、影響はありません。

回避策を元に戻す方法。 この回避策の実装で追加されたレジストリ キーを削除します。

  • グループ ポリシーを使用して Adobe Flash Player がインターネット エクスプローラーで実行されないようにする

メモ グループ ポリシー MMC スナップインは、コンピューター、組織単位、または全体のポリシーを設定するために使用できますメイン。 グループ ポリシーの詳細については、次の Microsoft Web サイトを参照してください。

グループ ポリシーの概要

グループ ポリシー オブジェクト エディターとは

コア グループ ポリシーのツールと設定

グループ ポリシーを使用してインターネット エクスプローラーで Adobe Flash Player を無効にするには、次の手順に従います。

注: この回避策では、Microsoft Office 2007 や Microsoft Office 2010 などの他のアプリケーションから Flash を呼び出すことはできません。

  1. グループ ポリシー管理コンソールを開き、ローカル コンピューター、OU、doメイン GPO などの適切なグループ ポリシー オブジェクトを操作するようにコンソールを構成します。
  2. 次のノードに移動します。 管理istrative Templates ->Windows コンポーネント ->Internet エクスプローラー ->Security Features ->Add-on Management
  3. [インターネット エクスプローラーで Adobe Flash を無効にする] をダブルクリックし、アプリケーションでインターネット エクスプローラー テクノロジを使用して Flash オブジェクトをインスタンス化できないようにします
  4. 設定を [有効] に変更します。
  5. [適用] をクリックし、[OK] をクリックしてグループ ポリシー管理コンソールに戻ります。
  6. すべてのシステムでグループ ポリシーを更新するか、設定が有効になるまで、次にスケジュールされたグループ ポリシーの更新間隔を待ちます。
  • 影響を受けるシステムで Adobe Flash Player が Office 2010 で実行されないようにする

注: この回避策では、Adobe Flash Player がインターネット エクスプローラーで実行されるのを防ぐことはありません。

警告 レジストリ エディターを正しく使用しない場合は、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの不適切な使用によって生じた問題については、解決を保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

インターネット エクスプローラーでコントロールが実行されないようにするために使用できる詳細な手順については、Microsoft サポート技術情報の記事240797を参照してください。 COM オブジェクトがインターネット エクスプローラーでインスタンス化されないように、レジストリに互換性フラグの値を作成するには、記事の手順に従います。

Office 2010 でのみ Adobe Flash Player を無効にするには、次の手順を使用して、レジストリで Adobe Flash Player の ActiveX コントロールのキル ビットを設定します。

  1. 次の内容を含むDisable_Flash.regという名前のテキスト ファイルを作成します。
             Windows Registry Editor Version 5.00

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
            "Compatibility Flags"=dword:00000400
  1. .reg ファイルをダブルクリックして、個々のシステムに適用します。
  2. 注: 変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

グループ ポリシーを使用して、doメイン 間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事 「グループ ポリシーコレクション」を参照してください。 

  • Office 2007 および Office 2010 で ActiveX コントロールが実行されないようにする

インターネット エクスプローラーの Adobe Flash Player を含む、Microsoft Office 2007 および Microsoft Office 2010 のすべての ActiveX コントロールを無効にするには、次の手順を実行します。

  1. [ファイル]、[オプション] の順にクリックし、[セキュリティ センター] をクリックし、[セキュリティ センター 設定] をクリックします
  2. 左側のウィンドウで [ActiveX 設定] をクリックし、[通知なしですべてのコントロールを無効にする] を選択します。
  3. OK をクリックして、設定を保存します。

回避策の影響。 埋め込み ActiveX コントロールを使用する Office ドキュメントは、意図したとおりに表示されない場合があります。

回避策を元に戻す方法。

Microsoft Office 2007 および Microsoft Office 2010 で ActiveX コントロールを再度有効にするには、次の手順に従います。

  1. [ファイル]、[オプション] の順にクリックし、[セキュリティ センター] をクリックし、[セキュリティ センター 設定] をクリックします
  2. 左側のウィンドウで [ActiveX 設定] をクリックし、[通知なしですべてのコントロールを無効にする] の選択を解除します。
  3. OK をクリックして、設定を保存します。 
  • インターネットとローカル イントラネットのセキュリティ ゾーンの設定を "高" に設定して、これらのゾーンの ActiveX コントロールと Active Scripting をブロックします

インターネット セキュリティ ゾーンの設定を変更して ActiveX コントロールと Active Scripting をブロックすることで、これらの脆弱性の悪用から保護することができます。 これを行うには、ブラウザーのセキュリティを [高] に設定します。

インターネット エクスプローラーで閲覧セキュリティ レベルを上げるには、次の手順に従います。

  1. [インターネット エクスプローラー ツール] メニューの [インターネット オプション] をクリックします
  2. [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[インターネット] をクリックします
  3. このゾーンの [セキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
  4. [ローカル イントラネット] をクリックします
  5. このゾーンの [セキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
  6. [OK] をクリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

注: スライダーが表示されない場合は、[既定のレベル] をクリックし、スライダーを [高]移動します

注: レベルを High に設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されている場合でも、サイトが正しく動作できるようになります。

回避策の影響。 ActiveX コントロールと Active Scripting をブロックするには、副作用があります。 インターネットまたはイントラネット上の多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたはアクティブ スクリプトのブロックは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

  • アクティブ スクリプトを実行する前にプロンプトを表示するか、インターネットとローカル イントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にするようにインターネット エクスプローラーを構成する

アクティブ スクリプトを実行する前にプロンプトを表示するように設定を変更したり、インターネットおよびローカル イントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にしたりすることで、これらの脆弱性の悪用から保護できます。 この操作を行うには、次の手順に従います。

  1. [インターネット エクスプローラー] の [ツール] メニューの [インターネット オプション] をクリックします
  2. [セキュリティ] タブをクリックします。
  3. [インターネット] をクリックし、[カスタム レベル] をクリックします
  4. 設定の [スクリプト] セクションの [Active Scripting] で、[**プロンプト**] または [無効] をクリックし、[OK] をクリックします
  5. [ローカル イントラネット] をクリックし、[カスタム レベル] をクリックします
  6. 設定の [スクリプト] セクションの [Active Scripting] で、[**プロンプト**] または [無効] をクリックし、[OK] をクリックします
  7. [OK] をクリックしてインターネット エクスプローラーに戻り、[OK] をもう一度クリックします

注: インターネットおよびローカル イントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にすると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、サイトが正常に動作できるようになります。

回避策の影響。 Active Scripting を実行する前にプロンプトを表示する場合は、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、アクティブ スクリプトを使用して追加の機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、アクティブ スクリプトを使用して、メニュー、注文フォーム、または口座明細書を提供できます。 Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 各プロンプトで、アクセスしているサイトが信頼できる場合は、[はい] をクリックしてアクティブ スクリプトを実行します。 これらのサイトすべてに対してプロンプトを表示しない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

  • 信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する

    インターネット エクスプローラーを設定して、インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃からユーザーを保護しながら、現在とまったく同じように信頼された Web サイトを引き続き使用できるようになります。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。

この操作を行うには、次の手順に従います。

  1. インターネット エクスプローラーで、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  2. [Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします
  3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
  4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします
  5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
  6. [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

注: 信頼できるサイトを追加して、システムに対して悪意のあるアクションを実行しないようにします。 特に追加する必要があるサイトは 、*.windowsupdate.microsoft.com*.update.microsoft.com です。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。

謝辞

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2016 年 11 月 8 日): セキュリティ情報が公開されました。

Page generated 2016-11-08 07:31-08:00。