マイクロソフト セキュリティ情報 MS16-117 - 緊急

Adobe Flash Player のセキュリティ更新プログラム (3188128)

公開日: 2016 年 9 月 14 日

バージョン: 1.0

このセキュリティ更新プログラムは、すべてのサポートされている Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、および Windows 10 にインストールすることで Adobe Flash Player の脆弱性を解決します。

このセキュリティ更新プログラムは、深刻度が「緊急」と評価されています。この更新プログラムは Internet Explorer 10、Internet Explorer 11、および Microsoft Edge に含まれる、影響を受ける Adobe Flash ライブラリを更新することにより、Adobe Flash Player の脆弱性を解決します。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報 3188128 を参照してください。

このセキュリティ更新プログラムは、Adobe セキュリティ情報 APSB16-29 で説明されている、以下の脆弱性を解決します。

CVE-2016-4271、CVE-2016-4272、CVE-2016-4274、CVE-2016-4275、CVE-2016-4276、CVE-2016-4277、CVE-2016-4278、CVE-2016-4279、CVE-2016-4280、CVE-2016-4281、CVE-2016-4282、CVE-2016-4283、CVE-2016-4284、CVE-2016-4285、CVE-2016-4287、CVE-2016-6921、CVE-2016-6922、CVE-2016-6923、CVE-2016-6924、CVE-2016-6925、CVE-2016-6926、CVE-2016-6927、CVE-2016-6929、CVE-2016-6930、CVE-2016-6931、CVE-2016-6932

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

オペレーティング システム

コンポーネント

総合的な深刻度と影響

置き換えられる更新プログラム*

Windows 8.1

Windows 8.1 for 32-bit Systems

Adobe Flash Player
(3188128)

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 8.1 for x64-based Systems

Adobe Flash Player
(3188128)

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(3188128)

警告
リモートでコードが実行される

MS16-093 の 3174060

Windows Server 2012 R2

Adobe Flash Player
(3188128)

警告
リモートでコードが実行される

MS16-093 の 3174060

Windows RT 8.1

Windows RT 8.1

Adobe Flash Player
(3188128)[1]

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 10

Windows 10 for 32-bit Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 10 for x64-based Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 10 Version 1511 for 32-bit Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 10 Version 1511 for x64-based Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

MS16-093 の 3174060

Windows 10 Version 1607 for 32-bit Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

なし

Windows 10 Version 1607 for x64-based Systems

Adobe Flash Player
(3188128)[2]

緊急
リモートでコードが実行される

なし

[1]この更新プログラムは、Windows Update を介して入手できます。

[2]Windows 10 用の Adobe Flash Player の更新プログラムは、Windows Update または Microsoft Update カタログを介して入手できます。

注意 このセキュリティ情報で説明している脆弱性は、Windows Server 2016 Technical Preview 5 に影響を及ぼします。この脆弱性からシステムを保護するために、このオペレーティング システムを実行しているお客様は、Windows Update から入手できる最新の更新プログラムを適用することをお勧めします。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、「Microsoft Update カタログ」にアクセスして、更新プログラムのサポート技術情報番号を検索すると、更新プログラムの詳細が表示されます (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

攻撃者はこれらの脆弱性をどのように悪用する可能性がありますか? 
ユーザーがデスクトップに Internet Explorer を使用している Web ベースの攻撃としては、攻撃者は、Internet Explorer を介してこれらのいずれかの脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。攻撃者は、「初期化しても安全」とマークされた ActiveX コントロールを、IE レンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに埋め込む可能性もあります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性があります。このような Web サイトには、このいずれかの脆弱性を悪用できるように特別に細工したコンテンツが含まれている可能性があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御するコンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。または、電子メールで送信した添付ファイルを開かせようとします。

Windows 8 スタイルの UI でユーザーが Internet Explorer を使用している Web ベースの攻撃としては、攻撃者は最初に、既に互換表示 (CV) リストに記載されている Web サイトをセキュリティ侵害する必要があります。次に、攻撃者は、Internet Explorer を介してこれらの脆弱性の悪用するために特別に細工して設計したフラッシュ コンテンツを含む Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。攻撃者は、制御するコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。Internet Explorer と CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player 用のコンテンツを含む Web サイトに関する開発者向けガイダンス」を参照してください。

緩和策とは、脆弱性の悪用の深刻度を低減できる可能性のある、既定の状態での設定、構成、汎用的なベスト プラクティスを指します。お客様の状況で、次の「緩和する要素」が役立つ場合があります。

  • ユーザーがデスクトップで Internet Explorer を使用している場合の Web ベースの攻撃としては、これらの脆弱性の悪用に使用される Web ページを含む Web サイトを攻撃者がホストしているケースなどが挙げられます。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を、受け入れるまたはホストする Web サイトは、いずれかの脆弱性を悪用する可能性のある特別に細工されたコンテンツを含む可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。その代わり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。
  • Windows 8 スタイルの UI では、Internet Explorer は、互換表示 (CV) リストに記載されているサイトからのみフラッシュ コンテンツを再生します。この制限では、攻撃者は最初に、既に CV リストに記載されている Web サイトを侵害する必要があります。次に、攻撃者は、Internet Explorer を介してこれらの脆弱性の悪用するために特別に細工して設計したフラッシュ コンテンツをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。攻撃者は、制御するコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
  • 既定で、すべてのサポートされているバージョンの Microsoft Outlook および Windows Live Mail メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはスクリプトおよび ActiveX コントロールを無効にし、これらのいずれかの脆弱性を悪用して悪意のあるコードを実行しようとする攻撃のリスクを排除するために役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃のシナリオで悪用されたこれらのいずれかの脆弱性の影響を受ける可能性があります。
  • 既定では、Windows Server 2012 と Windows Server 2012 R2 上の Internet Explorer は、セキュリティ強化の構成と呼ばれる制限されたモードで実行されます。このモードは、Internet Explorer にあるこれらの Adobe Flash Player の脆弱性による攻撃の可能性を低減するうえで役立ちます。

回避策とは、更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を指します。

  • Adobe Flash Player が実行されないようにする

    コントロールの Kill Bit をレジストリで設定することにより、Internet Explorer および Office 2007 および Office 2010 など、Kill Bit の機能をサポートするその他のアプリケーションで Adobe Flash Player のインスタンス化が試行されることを無効にできます。

    警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

    コントロールの Kill Bit をレジストリで設定するには、次の手順に従います。

    1. 次のテキストをテキスト ファイルに貼り付け、.reg ファイル拡張子で保存します。
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
    2. .reg ファイルをダブルクリックして、個別のシステムに適用します。

      グループ ポリシーを使用してドメイン全体にこの回避策を適用することもできます。グループ ポリシーの詳細については、TechNet の記事「Group Policy collection」(英語情報) を参照してください。

    注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

    回避策の影響: Internet Explorer でオブジェクトを使用しない限り、影響はありません。

    回避策の解除方法: この回避策のために追加したレジストリ キーを削除します。

 

  • グループ ポリシーを使用して、Adobe Flash Player が Internet Explorer で実行されるのを防ぐ

    注: グループ ポリシーの MMC スナップインを使用して、コンピューター、組織単位、ドメイン全体向けにポリシーを設定できます。グループ ポリシーの詳細については、次のマイクロソフト Web サイトを参照してください。

    グループ ポリシーの概要

    グループ ポリシー オブジェクト エディターとは何ですか?

    Core Group Policy tools and settings

    グループ ポリシーを使用して、Internet Explorer で Adobe Flash Player を無効にするには、次のステップを実行します。

    注: この回避策では、Microsoft Office 2007、Microsoft Office 2010 などの他のアプリケーションからの Flash の呼び出しを防ぐことはできません。

    1. グループ ポリシー管理コンソールを開き、ローカル コンピューター、OU またはドメイン GPO など、適切なグループ ポリシー オブジェクトと動作するよう構成します。
    2. 次のノードに移動します。

      [管理用テンプレート] -> [Windows コンポーネント] -> [Internet Explorer] -> [セキュリティ機能] -> [アドオン管理]
    3. [Internet Explorer で Adobe Flash をオフにし、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できないようにする] をダブルクリックします。
    4. 設定を [有効] に変更します。
    5. [適用] をクリックし、次に [OK] をクリックしてグループ ポリシー管理コンソールに戻ります。
    6. 設定を有効にするために、すべてのシステムでグループ ポリシーを更新するか、または次のスケジュールされたグループ ポリシーの更新を待ちます。

 

  • 影響を受けるシステム上の Office 2010 で Adobe Flash Player が実行されるのを防ぐ

    注: この回避策では、Internet Explorer での Adobe Flash Player の実行を防ぐことはできません。

    警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

    Internet Explorer でコントロールが実行されるのを防ぐために使用できる手順の詳細については、マイクロソフト サポート技術情報 240797 を参照してください。このセキュリティ情報に記載されているステップに従い、レジストリに互換性フラグの値を作成し、Internet Explorer で COM オブジェクトのインスタンスが作成されないようにしてください。

    Office 2010 のみで Adobe Flash Player を無効にするには、次の手順に従って、レジストリで Adobe Flash Player 用の ActiveX コントロール用の Kill Bit を設定します。

    1. 次のコンテンツで、ファイル名 Disable_Flash.reg としてテキスト ファイルを作成します。
      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
    2. .reg ファイルをダブルクリックして、個別のシステムに適用します。
    3. 注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

      グループ ポリシーを使用してドメイン全体にこの回避策を適用することもできます。グループ ポリシーの詳細については、TechNet の記事「Group Policy collection」(英語情報) を参照してください。

 

  • ActiveX コントロールが Office 2007 および Office 2010 で実行されないようにする

    Internet Explorer 上の Adobe Flash Player を含め、Microsoft Office 2007 と Microsoft Office 2010 で ActiveX コントロールを無効にするには、次のステップを実行します。

    1. [ファイル][オプション][セキュリティ センター][セキュリティ センターの設定] の順にクリックします。
    2. 左ウィンドウで [ActiveX の設定] をクリックし、[警告を表示せずにすべてのコントロールを無効にする] を選択します。
    3. [OK] をクリックして設定を保存します。

    回避策の影響: 埋め込まれた ActiveX コントロールを使用する Office ドキュメントが、想定どおりに正常に表示されないことがあります。

    回避策の解除方法:

    Microsoft Office 2007 と Microsoft Office 2010 で ActiveX コントロールを再び有効にするには、次の手順に従います。

    1. [ファイル][オプション][セキュリティ センター][セキュリティ センターの設定] の順にクリックします。
    2. 左ウィンドウで [ActiveX の設定] をクリックし、[警告を表示せずにすべてのコントロールを無効にする] の選択を解除します。
    3. [OK] をクリックして設定を保存します。

 

  • インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする

    インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、これらの脆弱性の悪用を防ぐことに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。

    Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。

    1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
    2. [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[インターネット] をクリックします。
    3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    4. [ローカル イントラネット] をクリックします。
    5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    6. [OK] をクリックして変更を許可し、Internet Explorer に戻ります。

    注: スライダーが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダーを「」に移動させます。

    注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。

    回避策の影響: ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトは ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロックしたくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

     

  • インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する

    インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアクティブ スクリプトを無効にするよう設定を変更することにより、これらの脆弱性の悪用を防ぐサポートを行うことができます。これを行うためには、次のステップを実行します。

    1. Internet Explorer の [ツール] メニューで [インターネット オプション] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [インターネット] をクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。
    4. [設定][スクリプト] セクションの [アクティブ スクリプト][ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
    5. [ローカル イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
    6. [設定][スクリプト] セクションの [アクティブ スクリプト][ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
    7. [OK] をクリックして Internet Explorer に戻り、再度 [OK] をクリックします。

    注: インターネットおよびローカル イントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは正しく動作するようになります。

    回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはオンライン バンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。ダイアログが表示されるたびに、アクセスしている Web サイトが信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

     

  • 信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

    インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じように、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

    これを行うためには、次のステップを実行します。

    1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
    2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
    3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをオフにします。
    4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
    5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
    6. [OK] を 2 回クリックして変更を許可し、Internet Explorer に戻ります。

    注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つのサイトは *.windowsupdate.microsoft.com*.update.microsoft.com です。これらは更新プログラムをホストするサイトで、更新プログラムのインストールには ActiveX コントロールが必要です。

セキュリティ更新プログラムの展開情報については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞のページをご覧ください。

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/09/14): このセキュリティ情報ページを公開しました。

Page generated 2016-09-12 09:56-07:00.
表示: