Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2876063)
公開日: 2013 年 8 月 13 日 |更新日: 2013 年 8 月 27 日
バージョン: 3.0
一般情報
概要
このセキュリティ更新プログラムは、Microsoft Exchange Server で公開されている 3 つの脆弱性を解決します。 この脆弱性は、Microsoft Exchange Server の WebReady ドキュメント表示およびデータ損失防止機能に存在します。 この脆弱性により、ユーザーが Outlook Web App (OWA) を使用して特別に細工されたファイルをプレビューする場合、Exchange サーバー上のトランスコーディング サービスのセキュリティ コンテキストでリモートでコードが実行される可能性があります。 WebReady ドキュメントの表示に使用される Exchange のトランスコード サービスでは、LocalService アカウントの資格情報が使用されます。 データ損失防止機能は、特別に細工されたメッセージが Exchange サーバーによって受信された場合に、フィルター処理管理サービスのセキュリティ コンテキストでリモート でコードを実行できるコードをホストします。 Exchange のフィルター処理管理サービスは、LocalService アカウントの資格情報を使用します。 LocalService アカウントは、ローカル システムに対する最小限の特権を持ち、ネットワーク上に匿名の資格情報を提示します。
このセキュリティ更新プログラムは、Microsoft Exchange Server 2007、Microsoft Exchange Server 2010、および Microsoft Exchange Server 2013 でサポートされているすべてのエディションで重大と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、影響を受ける Oracle Outside In ライブラリを脆弱性のないバージョンに更新することで、この脆弱性を解決します。 脆弱性の詳細については、次のセクション 「脆弱性情報」の「特定の脆弱性に関するよく寄せられる質問 (FAQ)」サブセクションを参照してください。
推奨。 お客様は、Microsoft Update サービスを使用して、Microsoft Update からの更新プログラムをオンラインでチェックするように自動更新を構成できます。 自動更新を有効にして、Microsoft Update から更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、Microsoft Update から更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 サポートされているエディションの Windows XP および Windows Server 2003 での自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。 Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のサポートされているエディションでの自動更新については、「Windows 自動更新について」を参照してください。
2013 年 8 月 14 日にこのセキュリティ情報が改訂された理由 Microsoft Exchange Server 2013 の元の 2874216 セキュリティ更新プログラムはどうなりましたか?
Microsoft は、Exchange Server 2013 Cumulative Update 1 および Microsoft Exchange Server 2013 Cumulative Update 2 に影響する2874216更新プログラムに関する問題を認識しています。これにより、Exchange Server がサーバー上のメールのインデックス作成を停止する可能性があります。 Microsoft は Windows Update とダウンロード センターから更新プログラムを削除し、問題を調査しています。 問題が解決されると、Microsoft は新しいパッケージをリリースします。
この更新プログラムには、機能に対するセキュリティ関連以外の変更が含まれていますか?
はい。インストールされている Microsoft Exchange Server のバージョンによって異なります。 この更新プログラムには、このセキュリティ情報の「脆弱性情報」セクションに記載されている変更に加えて、影響を受けるロールアップ更新プログラムの関連するKB (キロバイト)に関する記事に記載されているその他の機能の変更も含まれています。
Exchange Server 2007 Service Pack 3 (2873746) の更新プログラムロールアップ 11 については、マイクロソフト サポート技術情報の記事2873746を参照してください。
Exchange Server 2010 Service Pack 3 (2866475) の更新プログラムロールアップ 2 については、マイクロソフト サポート技術情報の記事2866475を参照してください。
これらは、サードパーティのコードである Oracle Outside In ライブラリの脆弱性です。 Microsoft がセキュリティ更新プログラムを発行するのはなぜですか?
Microsoft は、サードパーティのコードが使用される製品に固有の Oracle Outside In ライブラリのカスタム実装をライセンスします。 Microsoft は、Microsoft Exchange でこのサード パーティのコードを使用しているすべてのお客様がこれらの脆弱性から保護されるように、このセキュリティ更新プログラムを発行しています。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
Microsoft Exchange Server 2007 Service Pack 3 \ (2873746)
Critical \ Remote Code Execution
Critical \ Remote Code Execution
Critical \ Remote Code Execution
重大
Microsoft Exchange Server 2010 Service Pack 2 \ (2874216)
Critical \ Remote Code Execution
Critical \ Remote Code Execution
Critical \ Remote Code Execution
重大
Microsoft Exchange Server 2010 Service Pack 3 \ (2866475)
Critical \ Remote Code Execution
Critical \ Remote Code Execution
Critical \ Remote Code Execution
重大
Microsoft Exchange Server 2013 累積的な更新プログラム 1 \ (2874216)
Critical \ Remote Code Execution
Critical \ Remote Code Execution
Critical \ Remote Code Execution
重大
Microsoft Exchange Server 2013 累積的な更新プログラム 2 \ (2874216)
Critical \ Remote Code Execution
Critical \ Remote Code Execution
Critical \ Remote Code Execution
重大
外部の Oracle に複数の悪用可能な脆弱性が含まれている
このセキュリティ情報で対処されている 3 つの脆弱性のうち、CVE-2013-2393 と CVE-2013-3776 は、WebReady ドキュメント表示機能を介して Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013 に存在します。 この脆弱性により、ユーザーがブラウザーで Outlook Web Access を介して特別に細工されたファイルを表示した場合、LocalService アカウントとしてリモートでコードが実行される可能性があります。 攻撃者がこの脆弱性を悪用した場合、影響を受ける Exchange Server でコードを実行できますが、LocalService アカウントとしてのみ実行される可能性があります。 LocalService アカウントは、ローカル コンピューターに対する最小限の特権を持ち、ネットワーク上に匿名の資格情報を提示します。
3 番目の脆弱性 CVE-2013-3781 は、データ損失防止 (DLP) 機能を通じて Exchange Server 2013 に存在します。 この脆弱性により、ユーザーがブラウザーで Outlook Web Access を介して特別に細工されたファイルを表示すると、影響を受ける Exchange Server が応答しなくなる可能性があります。
この脆弱性の原因は何ですか?
この脆弱性は、Oracle Outside In ライブラリが特別に細工されたファイルを解析する場合に発生します。
Oracle Outside In ライブラリとは
Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013 では、Outlook Web App (OWA) ユーザーには WebReady Document Viewing と呼ばれる機能が用意されています。これにより、ユーザーはローカル アプリケーションを使用して開いたり表示したりするのではなく、特定の添付ファイルを Web ページとして表示できます。 Oracle Outside In ライブラリは、WebReady 機能をサポートするために、サーバー バックエンドの変換プロセスによって使用されます。 Microsoft は、Oracle からこれらのライブラリのライセンスを取得します。
Exchange Server 2013 では、Exchange データ損失防止 (DLP) は、ファイル スキャン機能の一部として Oracle Outside In ライブラリを利用します。
WebReady ドキュメントの表示とは
WebReady ドキュメントの表示を使用すると、ユーザーは特定の添付ファイルを Web ページとして表示できます。 Exchange 2007、Exchange 2010、および Exchange 2013 は変換を行うので、ユーザーは添付ファイルを表示するために Web ブラウザー以外の何も必要ありません。
Microsoft Exchange Server 2010 Service Pack 3:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Exchange 2010\SP3\KB (キロバイト)2866475
Microsoft Exchange Server 2013
参照テーブル
次の表に、このソフトウェアのセキュリティ更新プログラムの情報を示します。
将来のサービス パックに含める
この問題の更新プログラムは、今後の Service Pack または更新プログラムのロールアップに含まれる予定です
セキュリティ更新プログラムのファイル名
Microsoft Exchange Server 2013 Cumulative Update 1 および Microsoft Exchange Server 2013 Cumulative Update 2:\ Exchange2013-KB (キロバイト)2874216-v2-x64-en.msp の場合
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
V1.0 (2013 年 8 月 13 日): セキュリティ情報が公開されました。
V2.0 (2013 年 8 月 14 日): 更新プログラムの問題に対処するために、Microsoft Exchange Server 2013 累積的な更新プログラム 1 および Microsoft Exchange Server 2013 累積的な更新プログラム 2 の2874216更新プログラムを削除するセキュリティ情報を再リリースしました。 詳細については、更新プログラムに関する FAQ を参照してください。
V3.0 (2013 年 8 月 27 日): Microsoft Exchange Server 2013 累積的な更新プログラム 1 および Microsoft Exchange Server 2013 累積的な更新プログラム 2 の2874216更新プログラムの再発表に関するセキュリティ情報を再リリースしました。 詳細については、更新プログラムに関する FAQ を参照してください。
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.