このセキュリティ更新プログラムは、サポートされているすべてのエディションの Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10、および Windows Server 2016 にインストールされている Adobe Flash Player の脆弱性を解決します。
このセキュリティ更新プログラムは重大と評価されます。 この更新プログラムは、インターネット エクスプローラー 10、インターネット エクスプローラー 11、および Microsoft Edge に含まれる影響を受ける Adobe Flash ライブラリを更新することで、Adobe Flash Player の脆弱性を解決します。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。
攻撃者はどのようにしてこれらの脆弱性を悪用する可能性がありますか?
ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者はインターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Web サイトをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。 攻撃者は、IE レンダリング エンジンをホストするアプリケーションまたは Microsoft Office ドキュメントに、"初期化しても安全" とマークされた ActiveX コントロールを埋め込む可能性もあります。 攻撃者は、侵害された Web サイトや、ユーザーが提供するコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。 これらの Web サイトには、これらの脆弱性のいずれかを悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。
ユーザーが Windows 8 スタイルの UI でインターネット エクスプローラーを使用している Web ベースの攻撃シナリオでは、攻撃者はまず、互換性ビュー (CV) リストに既にリストされている Web サイトを侵害する必要があります。 攻撃者は、インターネットエクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。 インターネット エクスプローラーと CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player のコンテンツを含む Web サイトの開発者向けガイダンス」を参照してください。
ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性のいずれかを悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーを攻撃者の Web サイトに誘導する電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックするようにユーザーに誘導する必要があります。
Windows 8 スタイルの UI のインターネット エクスプローラーは、互換性ビュー (CV) リストに表示されているサイトからのみ Flash コンテンツを再生します。 この制限により、攻撃者はまず、CV リストに既に記載されている Web サイトを侵害する必要があります。 攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開くことで、ユーザーにアクションを実行するよう誘導する必要があります。
既定では、サポートされているすべてのバージョンの Microsoft Outlook とWindows Live メールは、制限付きサイト ゾーンで HTML メール メッセージを開きます。 スクリプトと ActiveX コントロールを無効にする制限付きサイト ゾーンは、攻撃者がこれらの脆弱性のいずれかを使用して悪意のあるコードを実行できるリスクを軽減するのに役立ちます。 ユーザーが電子メール メッセージ内のリンクをクリックしても、Web ベースの攻撃シナリオを通じてこれらの脆弱性が悪用される可能性があります。
既定では、Windows Server 2012 および Windows Server 2012 R2 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 このモードは、インターネット エクスプローラーでこれらの Adobe Flash Player の脆弱性が悪用される可能性を減らすのに役立ちます。
インターネット エクスプローラーでコントロールが実行されないようにするために使用できる詳細な手順については、Microsoft サポート技術情報の記事240797を参照してください。 COM オブジェクトがインターネット エクスプローラーでインスタンス化されないように、レジストリに互換性フラグの値を作成するには、記事の手順に従います。
Office 2010 でのみ Adobe Flash Player を無効にするには、次の手順を使用して、レジストリで Adobe Flash Player の ActiveX コントロールのキル ビットを設定します。
次の内容を含むDisable_Flash.regという名前のテキスト ファイルを作成します。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400
注: レベルを High に設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されている場合でも、サイトが正しく動作できるようになります。
回避策の影響。 ActiveX コントロールと Active Scripting をブロックするには、副作用があります。 インターネットまたはイントラネット上の多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたはアクティブ スクリプトのブロックは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。
セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。
謝辞
Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。