マイクロソフト セキュリティ情報 MS16-093 - 緊急

Adobe Flash Player のセキュリティ更新プログラム (3174060)

     

公開日:2016 年 7 月 13 日

バージョン: 1.0

このセキュリティ更新プログラムは、すべてのサポートされている Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、および Windows 10 にインストールすることで Adobe Flash Player の脆弱性を解決します。

このセキュリティ更新プログラムは、深刻度が「緊急」と評価されています。この更新プログラムは、Internet Explorer 10、Internet Explorer 11、および Microsoft Edge 内に含まれる、影響を受ける Adobe Flash ライブラリを更新することで、Adobe Flash Player の脆弱性を解決します。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

この更新プログラムの詳細については、サポート技術情報 3174060 を参照してください。

このセキュリティ更新プログラムは、Adobe Security Bulletin APSB16-25 に記載されている以下の各脆弱性を解決します:

CVE-2016-4173、CVE-2016-4174、CVE-2016-4175、CVE-2016-4176、CVE-2016-4177、CVE-2016-4178、CVE-2016-4179、CVE-2016-4182、CVE-2016-4188、CVE-2016-4185、CVE-2016-4222、CVE-2016-4223、CVE-2016-4224、CVE-2016-4225、CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、CVE-2016-4230、CVE-2016-4231、CVE-2016-4232、CVE-2016-4247、CVE-2016-4248、CVE-2016-4249

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

オペレーティング システム

コンポーネント

総合的な深刻度と影響

置き換えられる更新プログラム*

Windows 8.1

Windows 8.1 for 32-bit Systems

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

Windows 8.1 for x64-based Systems

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(3174060)

警告
リモートでコードが実行される

MS16-083 の 3167685

Windows Server 2012 R2

Adobe Flash Player
(3174060)

警告
リモートでコードが実行される

MS16-083 の 3167685

Windows RT 8.1

Windows RT 8.1[1]

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

Windows 10

Windows 10 for 32-bit Systems[2]

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

Windows 10 for x64-based Systems[2]

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 3167685

Windows 10 Version 1511 for 32-bit Systems[2]

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

Windows 10 Version 1511 for x64-based Systems[2]

Adobe Flash Player
(3174060)

緊急
リモートでコードが実行される

MS16-083 の 3167685

[1] この更新プログラムは、Windows Update を介して入手可能です。

[2]Windows 10 用の Adobe FlashPlayer の更新プログラムは、Windows Update または Microsoft Update カタログから入手できます。

注: Windows Server 2016 Technical Preview 4 および Windows Server 2016 Technical Preview 5 が影響を受けます。リモートでのコード実行の総合的な深刻度は「緊急」で影響の度合は「警告」です。 Windows Server 2016 Technical Preview 5 用の更新プログラムは、Windows Update を介して入手できます。しかし、Windows Server 2016 Technical Preview 4 向けに利用可能な更新プログラムはありません。この脆弱性からシステムを保護するために、Windows Server 2016 Technical Preview 4 を実行しているお客様は Windows Server 2016 Technical Preview 5 へのアップグレードを推奨します。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

攻撃者はこれらの脆弱性をどのように悪用する可能性がありますか?
ユーザーがデスクトップに Internet Explorer を使用している Web ベースの攻撃としては、攻撃者は、Internet Explorer を介してこれらのいずれかの脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。また、攻撃者は IE のレンダリング エンジンをホストするアプリケーションまたは Microsoft Office 文書に「安全な初期化」とマークされている ActiveX コントロールを埋め込む可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れるまたはホストする Web サイトを利用する可能性があります。このような Web サイトには、このいずれかの脆弱性を悪用できるように特別に細工したコンテンツが含まれている可能性があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御するコンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。

Windows 8 スタイルの UI でユーザーが Internet Explorer を使用している Web ベースの攻撃としては、攻撃者は最初に、既に互換表示 (CV) リストに記載されている Web サイトをセキュリティ侵害する必要があります。次に、攻撃者は、Internet Explorer を介してこれらの脆弱性の悪用するために特別に細工して設計したフラッシュ コンテンツを含む Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。攻撃者は、制御するコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。Internet Explorer および CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player 用のコンテンツを含む Web サイトに関する開発者向けガイダンス」を参照してください。

緩和する要素は、既定の状態における設定、一般的な構成または最善策を示し、脆弱性悪用の深刻度が下がる場合があります。お客様の状況で、次の「緩和する要素」が役立つ場合があります。

  • ユーザーがデスクトップで Internet Explorer を使用している場合の Web ベースの攻撃としては、これらの脆弱性の悪用に使用される Web ページを含む Web サイトを攻撃者がホストしているケースなどが挙げられます。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を、受け入れるまたはホストする Web サイトは、いずれかの脆弱性を悪用する可能性のある特別に細工されたコンテンツを含む可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。そのかわり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。
  • Windows 8 スタイルの UI では、Internet Explorer は、互換表示 (CV) リストに記載されているサイトからのみフラッシュ コンテンツを再生します。この制限では、攻撃者は最初に、既に CV リストに記載されている Web サイトを侵害する必要があります。次に、攻撃者は、Internet Explorer を介してこれらの脆弱性の悪用するために特別に細工して設計したフラッシュ コンテンツをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。攻撃者は、制御するコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
  • 既定で、すべてのサポートされているバージョンの Microsoft Outlook および Windows Live Mail メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはスクリプトおよび ActiveX コントロールを無効にし、これらのいずれかの脆弱性を悪用して悪意のあるコードを実行しようとする攻撃のリスクを低減するために役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃のシナリオで悪用されたこれらのいずれかの脆弱性の影響を受ける可能性があります。
  • 既定では、Windows Server 2012 および Windows Server 2012 R2 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。このモードは、Internet Explorer 上の Adobe Flash Player にあるこれらの脆弱性による攻撃の可能性を低減するうえで役立ちます。

回避策とは、更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を指します。

  • Adobe Flash Player が実行されないようにする

    コントロールの Kill Bit をレジストリで設定することにより、Internet Explorer および Office 2007 および Office 2010 など、Kill Bit の機能をサポートするその他のアプリケーションで Adobe Flash Player のインスタンス化が試行されることを無効にできます。

    警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、自己の責任においてご使用ください。

    コントロールの Kill Bit をレジストリで設定するには、次の手順に従います。

    1. 次のテキストをテキスト ファイルに貼り付け、.reg ファイル拡張子で保存します。
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. .reg ファイルをダブルクリックして、個別のシステムに適用します。

      グループ ポリシーを使用し、ドメインに適用することもできます。グループ ポリシーの詳細については、TechNet の記事「Group Policy collection」(英語情報) を参照してください。

    注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

    回避策の影響:Internet Explorer でオブジェクトを使用しない限り、影響はありません。

    回避策の解除方法:この回避策のために追加したレジストリ キーを削除します。

  • グループ ポリシーを使用して、Adobe Flash Player が Internet Explorer で実行されるのを防ぐ

    注: グループ ポリシーの MMS スナップインを使用して、コンピューターに組織単位またはドメイン全体のポリシーを設定できます。グループ ポリシーの詳細については、次のマイクロソフトの Web サイトを参照してください。

    グループ ポリシーの概要

    グループ ポリシー オブジェクト エディターとは何ですか?

    Core Group Policy tools and settings

    グループ ポリシーを使用して、Internet Explorer で Adobe Flash Player を無効にするには、次のステップを実行します。

    注:この回避策では、Microsoft Office 2007 または Microsoft Office 2010 など、その他のアプリケーションからフラッシュが呼び出されることを防ぐことはできません。

    1. グループ ポリシー管理コンソールを開き、ローカル コンピューター、OU またはドメイン GPO など、適切なグループ ポリシー オブジェクトと動作するよう構成します。
    2. 2.次のノードに移動します。[管理用テンプレート] -> [Windows コンポーネント] -> [Internet Explorer] -> [セキュリティ機能] -> [Add-on の管理]
    3. Internet Explorer で Adobe Flash Player をオフにして、アプリケーションが Internet Explorer テクノロジを使用してフラッシュ オブジェクトをインスタンス化しないようにする設定をダブルクリックします。
    4. 設定を [有効] に変更します。
    5. [適用] をクリックし、次に [OK] をクリックしてグループ ポリシー管理コンソールに戻ります。
    6. 設定を有効にするために、すべてのシステムでグループ ポリシーを更新するか、または次のスケジュールされたグループ ポリシーの更新を待ちます。

  • 影響を受けるシステム上の Office 2010 で Adobe Flash Player が実行されるのを防ぐ

    注:この回避策では、Internet Explorer で Adobe Flash Player が実行されることを防ぐことはできません。

    警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、自己の責任においてご使用ください。

    コントロールが Internet Explorer で実行されないようにするためのステップの詳細は、サポート技術情報 240797 をご覧ください。このセキュリティ情報に記載されているステップに従い、レジストリに互換性フラグの値を作成し、Internet Explorer で COM オブジェクトのインスタンスが作成されないようにしてください。

    Office 2010 のみで Adobe Flash Player を無効にするには、次の手順に従って、レジストリで Adobe Flash Player 用の ActiveX コントロール用の Kill Bit を設定します。

    1. 次のコンテンツで、ファイル名 Disable_Flash.reg としてテキスト ファイルを作成します。
      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. .reg ファイルをダブルクリックして、個別のシステムに適用します。
    3. 注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

      グループ ポリシーを使用し、ドメインに適用することもできます。グループ ポリシーの詳細については、TechNet の記事「Group Policy collection」(英語情報) を参照してください。

  • ActiveX コントロールが Office 2007 および Office 2010 で実行されないようにする

    Internet Explorer 上の Adobe Flash Player を含め、Microsoft Office 2007 と Microsoft Office 2010 ですべての ActiveX コントロールを無効にするには、次のステップを実行します。

    1. [ファイル]、[オプション]、[セキュリティ センター]、[セキュリティ センターの設定] の順にクリックします。
    2. 左ウィンドウで [ActiveX の設定] をクリックし、[警告を表示せずにすべてのコントロールを無効にする] を選択します。
    3. [OK] をクリックして設定を保存します。

    回避策の影響: 埋め込まれた ActiveX コントロールを使用する Office ドキュメントが、想定どおりに正常に表示されないことがあります。

    回避策の解除方法:

    Microsoft Office 2007 と Microsoft Office 2010 で ActiveX コントロールを再び有効にするには、次の手順に従います。

    1. [ファイル]、[オプション]、[セキュリティ センター]、[セキュリティ センターの設定] の順にクリックします。
    2. 左ウィンドウで [ActiveX の設定] をクリックし、[警告を表示せずにすべてのコントロールを無効にする] を選択解除します。
    3. [OK] をクリックして設定を保存します。

  • インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする

    インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、これらの脆弱性の悪用を防ぐことに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。

    Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。

    1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
    2. [インターネット オプション] ダイアログ ボックスで [セキュリティ] タブをクリックし、[インターネット] をクリックします。
    3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    4. [ローカル イントラネット] をクリックします。
    5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    6. [OK] をクリックし、変更を許可し、Internet Explorer に戻ります。

    : スライダーが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダーを「高」に移動させます。

    : セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。

    回避策の影響:ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトは ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロックしたくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

  • インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する

    インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアクティブ スクリプトを無効にするよう設定を変更することは、これらの脆弱性の悪用を防ぐことに役立ちます。これを行うためには、次のステップを実行します。

    1. Internet Explorer の [ツール] メニューで [インターネット オプション] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [インターネット] をクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。
    4. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
    5. [ローカル イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
    6. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
    7. [OK] をクリックして Internet Explorer に戻り、再度 [OK] をクリックします。

    : インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは正しく動作するようになります。

    回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはオンライン バンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。ダイアログが表示されるたびに、アクセスしている Web サイトが信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

  • 信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

    インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

    これを行うためには、次のステップを実行します。

    1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
    2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
    3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:)を必要とする] チェック ボックスをクリックして、チェックを外します。
    4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
    5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
    6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

    : システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。この Web サイトはセキュリティ更新プログラムを提供する Web サイトで、セキュリティ更新プログラムをインストールするためには ActiveX コントロールを必要とします。

セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているサポート技術情報を参照してください。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/07/13):このセキュリティ情報ページを公開しました。

Page generated 2016-07-07 10:53-07:00.
表示: