Microsoft セキュリティ情報 MS15-114 - 重大
公開日: 2015 年 11 月 10 日
バージョン: 1.0
このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。 この脆弱性により、ユーザーが特別に細工されたジャーナル ファイルを開いた場合に、リモートでコードが実行される可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
このセキュリティ更新プログラムは、Windows Vista および Windows 7 でサポートされているすべてのエディション、および Windows Server 2008 および Windows Server 2008 R2 でサポートされているすべての非 Itanium エディションに対して、重大と評価されます。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。
このセキュリティ更新プログラムは、Windows Journal がジャーナル ファイルを解析する方法を変更することで、この脆弱性を解決します。 脆弱性の詳細については、「脆弱性情報」セクションを参照してください。
この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3100213を参照してください。
次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。
| オペレーティング システム | セキュリティへの影響の最大値 | 重大度の評価の集計 | 更新置換済み* |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| Windows Vista x64 Edition Service Pack 2 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32 ビット システム Service Pack 2 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| Windows 7 | |||
| Windows 7 for 32 ビット システム Service Pack 1 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| Windows 7 for x64 ベースのシステム Service Pack 1 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
| Windows Server 2008 R2 | |||
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (3100213) | リモート コードの実行 | 重大 | MS15-098 の 3069114 |
*更新置き換えられた列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、Microsoft Update カタログに移動し、更新プログラムのKB (キロバイト)番号を検索して、更新プログラムの詳細を表示します (更新プログラムの置き換えられた情報は [パッケージの詳細] タブで提供されます)。
影響を受けるソフトウェア テーブルでオペレーティング システムの 1 つを実行しています。 ジャーナル更新プログラムが提供されないのはなぜですか?
更新プログラムは、Windows ジャーナルがインストールされているシステムにのみ提供されます。
注: Windows Server 2008 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。 このオペレーティング システムでは、デスクトップ エクスペリエンス機能が有効になっているときにインストールされます。 その結果、Windows ジャーナルの更新プログラムは、デスクトップ エクスペリエンスが有効になっている場合にのみ適用されます。
注: Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 のサポートされているエディションでは、Windows ジャーナルは既定ではインストールされません。 これらのオペレーティング システムでは、Ink および Handwriting Services 機能が有効になっているときにインストールされます。 その結果、Windows ジャーナルの更新プログラムは、Ink と Handwriting Services が有効になっている場合にのみ適用されます。
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性の可能性については、11 月のセキュリティ情報の概要の Exploitability Index を参照してください。
| 脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響 | ||
|---|---|---|
| 影響を受けるソフトウェア | Windows ジャーナル ヒープ オーバーフローの脆弱性 - CVE-2015-6097 | 重大度の評価の集計 |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3100213) | 重要な リモート コード実行 | 重大 |
| Windows Vista x64 Edition Service Pack 2 (3100213) | 重要な リモート コード実行 | 重大 |
| Windows Server 2008 | ||
| Windows Server 2008 for 32 ビット システム Service Pack 2 (3100213) | 重要な リモート コード実行 | 重大 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (3100213) | 重要な リモート コード実行 | 重大 |
| Windows 7 | ||
| Windows 7 for 32 ビット システム Service Pack 1 (3100213) | 重要な リモート コード実行 | 重大 |
| Windows 7 for x64 ベースのシステム Service Pack 1 (3100213) | 重要な リモート コード実行 | 重大 |
| Windows Server 2008 R2 | ||
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (3100213) | 重要な リモート コード実行 | 重大 |
特別に細工されたジャーナル ファイルが Windows Journal で開かれると、Microsoft Windows にリモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。 ユーザーが管理者権限でログオンしている場合、攻撃者は影響を受けるシステムを制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
攻撃を成功させるには、ユーザーが影響を受けるバージョンの Windows Journal を含む特別に細工されたジャーナル ファイルを開く必要があります。 電子メール攻撃のシナリオでは、攻撃者は特別に細工されたジャーナル ファイルをユーザーに送信し、ユーザーにファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。
この更新プログラムは、Windows Journal がジャーナル ファイルを解析する方法を変更することで、この脆弱性を解決します。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。 このセキュリティ情報が最初に発行された時点では、Microsoft はこの脆弱性を悪用しようとする攻撃を認識していません。
Microsoft は、この脆弱性の 軽減要因 を特定していません。
状況によっては、次 の 回避策が役立つ場合があります。
疑わしい添付ファイルを開かない
信頼されていないソースから受信した Windows Journal (.jnt) ファイルや、信頼できるソースから予期せず受信したファイルは開かないでください。 この脆弱性は、ユーザーが特別に細工されたファイルを開いたときに悪用される可能性があります。.jnt ファイルの種類の関連付けを削除する
対話型メソッド:
レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。 レジストリを編集する方法については、レジストリ エディター (Regedit.exe) の「キーと値の変更」ヘルプ トピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリ データの編集」ヘルプ トピックを参照してください。対話型メソッドを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。
- [スタート] ボタン、 [ファイル名を指定して実行] の順にクリックし、「regedit」と入力して [OK] をクリックします。
- HKEY_CLAS Standard Edition S_ROOT展開し、[jntfile] をクリックし、[ファイル] メニューをクリックして [エクスポート] を選択します。
- [レジストリ ファイルのエクスポート] ダイアログ ボックスで、「jntfile HKCR ファイルの関連付けレジストリ backup.reg」と入力し、[保存] をクリックします。 既定では、このレジストリ キーのバックアップが [マイ ドキュメント] フォルダーに作成されます。
- キーボードの Delete キーを押してレジストリ キーを削除します。 レジストリ値の削除を求められたら、[はい] をクリックします。
- HKEY_CURRENT_U Standard Edition R、Software、Microsoft、Windows、CurrentVersion、エクスプローラー、FileExts の順に展開します。
- [.jnt] をクリックし、[ファイル] メニューをクリックして [エクスポート] を選択します。
- [レジストリ ファイルのエクスポート] ダイアログ ボックスで、「.jntHKCU ファイルの関連付けレジストリ backup.reg」と入力し、[保存] をクリックします。 既定では、このレジストリ キーのバックアップが [マイ ドキュメント] フォルダーに作成されます。
- キーボードの Delete キーを押してレジストリ キーを削除します。 レジストリ値の削除を求められたら、[はい] をクリックします。
マネージド スクリプトの使用:
レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。 レジストリを編集する方法については、レジストリ エディター (Regedit.exe) の「キーと値の変更」ヘルプ トピックを参照するか、Regedt32.exeの「レジストリの情報の追加と削除」および「レジストリ データの編集」ヘルプ トピックを参照してください。
対話型のマネージド スクリプトを使用して .jnt ファイルの種類の関連付けを削除するには、次の手順に従います。
まず、次のコマンドを使用して、マネージド デプロイ スクリプトを使用してレジストリ キーのバックアップ コピーを作成します。
Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt次に、次のファイルを.reg拡張子を持つファイル (例: Delete_jnt_file_association.reg) に保存します。
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\jntfile] -HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]次のコマンドを使用して、ターゲット コンピューターで手順 2 で作成した上記のレジストリ スクリプトを実行します。
Regedit.exe /s Delete_jnt_file_association.reg
回避策の影響。 .jnt ファイルをダブルクリックしても、journal.exeが起動しなくなります。
回避策を元に戻す方法:
レジストリ エディターを使用してレジストリ キーを復元し、保存されている設定を復元します。REG ファイル。
- インストールする Windows 機能を無効にして Windows ジャーナルを削除する
Windows Vista および Windows 7 システムでは、次の手順に従います。
- [スタート] をクリックし、[コントロール パネル] をクリックし、[プログラム] をクリックします。
- [Windows 機能のオンとオフを切り替える] をクリックし、タブレット PC のオプション コンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) のチェック ボックスをオフにします。
- OK をクリックします。
回避策の影響。 Windows ジャーナルがシステムから削除されます。
回避策を元に戻す方法:
Windows Vista または Windows 7 システムに Windows Journal を再インストールするには、次の手順に従います。
- [スタート] をクリックし、[コントロール パネル] をクリックし、[プログラム] をクリックします。
- [Windows 機能のオンとオフを切り替える] をクリックし、タブレット PC のオプション コンポーネント (Windows Vista システム) またはタブレット PC コンポーネント (Windows 7 システム) のチェック ボックスを選択します。
- OK をクリックします。
Journal.exeへのアクセスを拒否する
Journal.exeへのアクセスを拒否するには、管理コマンド プロンプトで次のコマンドを入力します。
``` > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"` > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F) ```回避策の影響。 Windows ジャーナルにアクセスできなくなります。
回避策を元に戻す方法:
Journal.exeへのアクセスを再開するには、管理コマンド プロンプトで次のコマンドを入力します。
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone
セキュリティ更新プログラムの展開に関する情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。
Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
- V1.0 (2015 年 11 月 10 日): セキュリティ情報が公開されました。
Page generated 2015-11-24 08:27-08:00.