セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2749655
署名された Microsoft バイナリに影響する互換性の問題
公開日: 2012 年 10 月 9 日 |更新日: 2012 年 12 月 11 日
バージョン: 2.0
一般情報
概要
Microsoft は、適切なタイムスタンプ属性なしで Microsoft によって生成された特定のデジタル証明書に関連する問題を認識しています。 これらのデジタル証明書は、後で一部の Microsoft コア コンポーネントとソフトウェア バイナリに署名するために使用されました。 これにより、影響を受けるバイナリと Microsoft Windows の間で互換性の問題が発生する可能性があります。 これはセキュリティ上の問題ではありませんが、Microsoft によって生成および署名されたファイルのデジタル署名は途中で期限切れになるため、この問題は、影響を受ける Microsoft コンポーネントとセキュリティ更新プログラムを適切にインストールおよびアンインストールする機能に悪影響を及ぼす可能性があります。
お客様を支援するための先制的なアクションとして、Microsoft は、サポートされている Microsoft Windows リリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。 更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2749655を参照してください。
さらに、Microsoft では、この問題の影響を受ける製品で利用可能になった更新プログラムを提供しています。 これらの更新プログラムは、再リリースされた更新プログラムの一部として提供されるか、顧客のニーズに応じて他のソフトウェア更新プログラムに含まれる場合があります。
推奨。 Microsoft では、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックすることにより、この問題に対処するKB (キロバイト)2749655更新プログラムと再リリースされた更新プログラムを直ちに適用することをお勧めします。 詳細については、 このアドバイザリの「利用可能な再リリース の一覧」および 「推奨されるアクション」 セクションを参照してください。
利用可能な再リリースの一覧
場合によっては、お客様のニーズを最適に満たすために、影響を受ける更新プログラムを再リースすることでこの問題に対処しています。
- 2012 年 10 月 9 日、Microsoft は Windows XP のKB (キロバイト)723135更新プログラムを再リリースしました。 詳細については、MS12-053 を参照してください。
- 2012 年 10 月 9 日、Microsoft は Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 のKB (キロバイト)2705219更新プログラムを再リリースしました。 詳細については、MS12-054 を参照してください。
- 2012 年 10 月 9 日、Microsoft は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のKB (キロバイト)2731847更新プログラムを再リリースしました。 詳細については、MS12-055 を参照してください。
- 2012 年 10 月 9 日に、Microsoft Exchange Server 2007 Service Pack 3 (KB (キロバイト)2756496)、Microsoft Exchange Server 2010 Service Pack 1 (KB (キロバイト)2756497)、および Microsoft Exchange Server 2010 Service Pack 2 (KB (キロバイト)2756485) の更新プログラムが再リリースされました。 詳細については、MS12-058 を参照してください。
- 2012 年 10 月 9 日、Microsoft は Windows XP のKB (キロバイト)2661254更新プログラムを再リリースしました。 詳細については、「Microsoft セキュリティ アドバイザリ 2661254」を参照してください。
- 2012 年 11 月 13 日、Microsoft はKB (キロバイト)2598361更新プログラムを Microsoft Office 2003 Service Pack 3 のKB (キロバイト)2687626更新プログラムに置き換えられました。 詳細については、MS12-046 を参照してください。
- 2012 年 12 月 11 日、Microsoft は、Microsoft Office 2003 Service Pack 3 にインストールされている場合、KB (キロバイト)2687324更新プログラムを Microsoft XML Core Services 5.0 のKB (キロバイト)2687627更新プログラムに置き換え、KB (キロバイト)2596679の更新プログラムを KB (キロバイト)2687497 更新プログラムに置き換えました。影響を受けるすべてのエディションの Microsoft Groove 2007、Microsoft Groove Server 2007、および Microsoft Office SharePoint Server 2007 と共にインストールされている場合、Microsoft XML Core Services 5.0。 詳細については、MS12-043 を参照してください。
- 2012 年 12 月 11 日、Microsoft は、影響を受けるすべてのエディションの Microsoft Office 2010 のKB (キロバイト)2553260とKB (キロバイト)2589322の更新プログラムをそれぞれKB (キロバイト)2687501およびKB (キロバイト)2687510更新プログラムに置き換えました。 詳細については、MS12-057 を参照してください。
- 2012 年 12 月 11 日、Microsoft は、影響を受けるすべてのエディションの Microsoft Visio 2010 のKB (キロバイト)2597171更新プログラムをKB (キロバイト)2687508更新プログラムに置き換えました。 詳細については、MS12-059 を参照してください。
- 2012 年 12 月 11 日、Microsoft は、影響を受けるすべてのバリエーションの Microsoft Office 2003、Microsoft Office 2003 Web コンポーネント、および Microsoft SQL Server 2005 の Windows 共通コントロールのKB (キロバイト)2726929更新プログラムにKB (キロバイト)2687323更新プログラムを置き換えました。 詳細については、MS12-060 を参照してください。
再リリースされた更新プログラムをインストールしない場合の影響に関する注意: 元の更新プログラム をインストールしたお客様は、更新プログラムによって対処される脆弱性から保護されます。 ただし、実行可能イメージなどの不適切に署名されたファイルは、元の更新プログラムの署名プロセスで使用される CodeSign 証明書の有効期限後に正しく署名されていると見なされないため、Microsoft Update では、有効期限後に一部のセキュリティ更新プログラムがインストールされない場合があります。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サード パーティ製アプリケーションのホワイトリスト登録ソリューションも影響を受ける可能性があります。 再リリースされた更新プログラムをインストールすると、影響を受ける更新プログラムの問題が修復されます。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| 参考文献 | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | \ 2749655 2756872 |
影響を受けるソフトウェア
このアドバイザリに関連付けられている更新プログラムは、次のソフトウェアに適用されます。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3\ (KB (キロバイト)2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2003 Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2003 with SP2 for Itanium-based Systems\ (KB (キロバイト)2749655) |
| Windows Vista Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2008 for 32 ビット システム Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2008 for x64 ベースシステム Service Pack 2\ (KB (キロバイト)2749655) |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2\ (KB (キロバイト)2749655) |
| Windows 7 for 32 ビット システム\ (KB (キロバイト)2749655) |
| Windows 7 for 32 ビット システム Service Pack 1\ (KB (キロバイト)2749655) |
| Windows 7 for x64 ベースのシステム\ (KB (キロバイト)2749655) |
| Windows 7 for x64 ベースのシステム Service Pack 1\ (KB (キロバイト)2749655) |
| x64 ベース システム用 Windows Server 2008 R2\ (KB (キロバイト)2749655) |
| x64 ベースシステム Service Pack 1\ 用 Windows Server 2008 R2 (KB (キロバイト)2749655) |
| Windows Server 2008 R2 for Itanium-based Systems\ (KB (キロバイト)2749655) |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1\ (KB (キロバイト)2749655) |
| Windows 8 for 32 ビット システム\ (KB (キロバイト)2756872) |
| Windows 8 for 64 ビット システム\ (KB (キロバイト)2756872) |
| Windows Server 2012\ (KB (キロバイト)2756872) |
| Server Core のインストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)\ (KB (キロバイト)2749655) |
| Windows Server 2008 for x64 ベースシステム Service Pack 2 (Server Core インストール)\ (KB (キロバイト)2749655) |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール)\ (KB (キロバイト)2749655) |
| Windows Server 2008 R2 for x64 ベースシステム Service Pack 1 (Server Core インストール)\ (KB (キロバイト)2749655) |
| Windows Server 2012 (Server Core インストール)\ (KB (キロバイト)2756872) |
よく寄せられる質問
Windows 8 と Windows Server 2012 の更新プログラムはどこにありますか?
Windows 8 および Windows Server 2012 の更新プログラムは、"Windows 8 クライアントと Windows Server 2012 の一般提供累積的な更新プログラム" (KB (キロバイト)2756872) に含まれています。 詳細およびダウンロード リンクについては、マイクロソフト サポート技術情報の記事2756872を参照してください。 これらの更新プログラムは、Microsoft Update と Windows Update からも入手できます。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、適切なタイムスタンプ属性なしで Microsoft によって生成されたデジタル証明書で署名されたバイナリに関連する問題を顧客に通知することです。
お客様を支援するための先制的なアクションとして、Microsoft は、サポートされている Microsoft Windows リリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 この更新プログラムは、Microsoft のお客様向けの既存の多層防御コンポーネントを改善し、Windows のセキュリティ関連機能の向上に役立ちます。
これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 矛盾しているのではないですか?
セキュリティ アドバイザリは、セキュリティ情報を必要としないが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題や、セキュリティ情報がリリースされていない問題に関するセキュリティ関連情報を Microsoft が顧客に伝える方法です。 この場合、セキュリティ更新プログラムを含む、後続の更新プログラムを実行する機能を決定する更新プログラムの可用性を伝えています。 したがって、このアドバイザリは特定のセキュリティの脆弱性には対処しません。むしろ、それはあなたの全体的なセキュリティに対処します。
Microsoft は、Windows Authenticode Signature Verification 関数を使用するソフトウェアとコンポーネントの長期的な安定性と互換性を向上させるために、このコンポーネントの更新プログラムを発行しています。
この問題の原因は何ですか?
この問題は、証明書の生成と Microsoft コア コンポーネントとソフトウェアの署名中にタイムスタンプ拡張キー使用法 (EKU) 拡張機能が見つからない場合に発生します。 2012 年の 2 か月間使用された一部の証明書には、X.509 タイムスタンプ拡張キー使用法 (EKU) 拡張機能が含まれていませんでした。
この更新プログラムは何を行いますか?
この更新プログラムは、タイムスタンプ拡張キー使用法 (EKU) 拡張機能を使用していない特定の証明書で署名されたすべてのソフトウェアの継続的な機能を保証するのに役立ちます。 その機能を拡張するために、WinVerifyTrust は、これらの特定の X.509 署名に対するタイムスタンプ EKU の欠如を無視します
Microsoft がこの問題に対処するセキュリティ以外の更新プログラムをリリースしている場合、Microsoft もセキュリティ情報を再リリースするのはなぜですか?
この更新プログラムは、Windows またはインターネット エクスプローラーでファイルを表示または実行する場合など、証明書が Windows Authenticode 署名検証を使用するほとんどの場合に対処します。 ただし、すべての証明書の使用および検証機能に確実に対処するために、影響を受けるパッケージとソフトウェアが更新または再リリースされ、サード パーティの CodeSign 検証機能が正しく機能することを確認します。
この更新プログラムをインストールしないことの影響は何ですか?
この更新がないと、実行可能イメージなどの不適切に署名されたファイルは、署名プロセスで使用される CodeSign 証明書の有効期限後に正しく署名されていると見なされません。 たとえば、Windows Update では、この更新プログラムがインストールされていない場合、有効期限の後に一部のセキュリティ更新プログラムはインストールされません。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サード パーティ製アプリケーションのホワイトリスト登録ソリューションも影響を受ける可能性があります。
影響を受けるコード署名証明書の有効期限はいつですか?
CodeSign 証明書には、さまざまな有効期限があります。 最も早い有効期限は 2012 年 11 月です。
タイムスタンプ拡張キー使用法 (EKU) 拡張機能はどのように使用されますか?
RFC3280ごとに、タイムスタンプ拡張キー使用法 (EKU) 拡張機能は、オブジェクトのハッシュを時間にバインドするために使用されます。 これらの署名付きステートメントは、特定の時点に署名が存在したことを示しています。 これらは、コード署名証明書の有効期限が切れたときのコード整合性の状況で使用され、証明書の有効期限が切れる前に署名が行われたかどうかを確認します。 証明書のタイムスタンプの詳細については、「証明書のしくみ」および「Windows Authenticode Portable Executable Signature Format」を参照してください。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書 は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーに関する情報 (誰が所有するか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。
この問題は、影響を受ける証明書の侵害を表していますか?
いいえ。 影響を受ける証明書はいかなる形でも侵害されず、現時点ではお客様への影響を認識していません。
Windows Authenticode Signature Verification 関数とは
Windows Authenticode Signature Verification 関数 (WinVerifyTrust) は、指定されたオブジェクトに対して信頼検証アクションを実行します。 この関数は、アクション識別子 (存在する場合) をサポートする信頼プロバイダーに照会を渡します。 WinVerifyTrust 関数は、指定されたオブジェクトに対する署名チェックと信頼検証アクションの 2 つのアクションを実行します。 詳細については、「WinVerifyTrust 関数」を参照してください。
この問題は開発者にどのような影響を与えますか?
開発者は、アプリケーションで影響を受ける再頒布可能パッケージを使用する場合に、この問題の影響を受ける可能性があります。 開発者のアプリケーションを使用するシステムにこの更新プログラムを適用すると、問題が修復されます。 さらに、Microsoft は、影響を受ける再頒布可能パッケージの更新バージョンを公開します。 開発者は、これらをアプリケーションの将来の更新プログラムに組み込む必要があります。
推奨されるアクション
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
ほとんどのお客様は自動更新を有効にしており、KB (キロバイト)2749655更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、または更新プログラムを手動でインストールするエンド ユーザーの場合、Microsoft では、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックすることによって、この問題にすぐに対処するKB (キロバイト)2749655更新プログラムと再リリースされた更新プログラムを適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事2749655を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2012 年 10 月 9 日): アドバイザリが公開されました。
- V1.1 (2012 年 10 月 9 日): このアドバイザリに関連付けられている Windows 8 および Window Server 2012 の更新プログラムは、"Windows 8 クライアントおよび Windows Server 2012 一般提供累積更新プログラム" (KB (キロバイト)2756872) に含まれていることを明確にしました。 これは情報の変更のみです。 詳細については、アドバイザリに関する FAQ を参照してください。
- V1.2 (2012 年 11 月 13 日): MS12-046 で説明されているKB (キロバイト)2687626更新プログラムを、使用可能な再リリースの一覧に追加しました。
- V2.0 (2012 年 12 月 11 日): MS12-043 で説明されているKB (キロバイト)2687627およびKB (キロバイト)2687497更新プログラム、MS12-057 で説明されているKB (キロバイト)2687501およびKB (キロバイト)2687510更新プログラム、MS12-059 で説明されているKB (キロバイト)2687508更新プログラム、および MS12-060 で説明されているKB (キロバイト)2726929更新プログラムを利用可能な一覧に追加しました再リリース。
ビルド日: 2014-04-18T13:49:36Z-07:00