次の方法で共有


Microsoft セキュリティ アドバイザリ 4022344

Microsoft マルウェア対策エンジンのセキュリティ更新プログラム

公開日: 2017 年 5 月 8 日 |更新日: 2017 年 5 月 12 日

バージョン: 1.2

概要

Microsoft は、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処していることをお客様に通知するために、このセキュリティ アドバイザリをリリースしています。

この更新プログラムは、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンした場合に、リモートでコードが実行される可能性がある脆弱性を解決します。 攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを制御する可能性があります。

Microsoft マルウェア対策エンジンには、いくつかの Microsoft マルウェア対策製品が付属しています。 影響を受ける製品の 一覧については、「影響を受けるソフトウェア 」セクションを参照してください。 Microsoft マルウェア対策エンジンへの更新は、影響を受ける製品の更新されたマルウェア定義と共にインストールされます。 エンタープライズ インストールの管理管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。

通常、Microsoft Malware Protection Engine の更新プログラムをインストールするために、エンタープライズ管理者またはエンド ユーザーにアクションは必要ありません。これは、更新プログラムの自動検出と展開の組み込みメカニズムによって、リリースから 48 時間以内に更新プログラムが適用されるためです。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。

このアドバイザリの情報は、CVE-2017-0290 によって参照されるセキュリティ更新プログラム ガイドでも入手できます。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

参考文献 [識別]
この脆弱性の影響を受ける最新バージョンの Microsoft マルウェア対策エンジン バージョン 1.1.13701.0
この脆弱性が対処された Microsoft マルウェア対策エンジンの最初のバージョン バージョン 1.1.13704.0

* お使いのバージョンの Microsoft マルウェア対策エンジンがこのバージョン以上の場合、この脆弱性の影響を受けず、それ以上の操作を行う必要はありません。 ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください

マルウェア対策ソフトウェア Microsoft マルウェア対策エンジンのリモートでのコード実行の脆弱性 - CVE-2017-0290
Microsoft Forefront Endpoint Protection 2010 Critical \ Remote Code Execution
Microsoft Endpoint Protection Critical \ Remote Code Execution
Microsoft System Center Endpoint Protection Critical \ Remote Code Execution
Microsoft Security Essentials Critical \ Remote Code Execution
Windows Defender for Windows 7 Critical \ Remote Code Execution
Windows Defender for Windows 8.1 Critical \ Remote Code Execution
Windows Defender for Windows RT 8.1 Critical \ Remote Code Execution
Windows Defender for Windows 10、Windows 10 1511、Windows 10 1607、Windows Server 2016、Windows 10 1703 Critical \ Remote Code Execution
Windows Intune Endpoint Protection Critical \ Remote Code Execution
Microsoft Exchange Server 2013 Critical \ Remote Code Execution
Microsoft Exchange Server 2016 Critical \ Remote Code Execution
Microsoft Windows Server 2008 R2 Critical \ Remote Code Execution

Exploitability Index

次の表は、今月対処された各脆弱性の悪用可能性評価を示しています。 脆弱性は、セキュリティ情報 ID と CVE ID の順に一覧表示されます。 セキュリティ情報に含まれるのは、重大度レーティングが [重大] または [重要] である脆弱性のみです。

このテーブル操作方法使用しますか?

この表を使用して、セキュリティ情報のリリースから 30 日以内に、インストールが必要になる可能性がある各セキュリティ更新プログラムについて、コードの実行とサービス拒否の悪用の可能性について説明します。 特定の構成に従って、以下の各評価を確認して、今月の更新プログラムのデプロイに優先順位を付けます。 これらの評価の意味と決定方法の詳細については、Microsoft Exploitability Index を参照してください

以下の列では、"最新のソフトウェア リリース" は対象ソフトウェアを指し、"古いソフトウェア リリース" は、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるソフトウェア以外のソフトウェア」の表に記載されているように、対象ソフトウェアのサポートされているすべての古いリリースを指します。

CVE ID                     脆弱性のタイトル Exploitability Assessment for\ Latest Software Release Exploitability Assessment for\ 以前のソフトウェア リリース サービス拒否\ 悪用可能性評価
CVE-2017-0290 スクリプト エンジンのメモリ破損の脆弱性 2 - 悪用の可能性が低い 2 - 悪用の可能性が低い 適用なし

アドバイザリに関する FAQ

Microsoft は、この脆弱性に対処するためにセキュリティ情報をリリースしていますか?
いいえ。 Microsoft は、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処することを顧客に通知するために、この情報セキュリティ アドバイザリをリリースしています。

通常、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールする操作は必要ありません。

この更新プログラムをインストールするためにアクションが必要ないのはなぜですか? 
絶えず変化する脅威の状況に対応して、Microsoft はマルウェア定義と Microsoft マルウェア保護エンジンを頻繁に更新します。 新しい脅威や一般的な脅威から保護するために、マルウェア対策ソフトウェアは、これらの更新プログラムをタイムリーに最新の状態に保つ必要があります。

エンタープライズ展開とエンド ユーザーの場合、Microsoft マルウェア対策ソフトウェアの既定の構成は、マルウェア定義と Microsoft マルウェア保護エンジンが自動的に最新の状態に保たれるようにするのに役立ちます。 製品ドキュメントでは、自動更新用に製品を構成することも推奨されています。

ベスト プラクティスでは、Microsoft マルウェア保護エンジンの更新プログラムやマルウェア定義の自動展開など、ソフトウェア配布が環境内で期待どおりに動作しているかどうかを定期的に確認することをお勧めします。

Microsoft マルウェア保護エンジンとマルウェア定義はどのくらいの頻度で更新されますか? 
通常、Microsoft は、月に 1 回、または新しい脅威から保護するために必要に応じて、Microsoft マルウェア対策エンジンの更新プログラムをリリースします。 Microsoft は通常、マルウェア定義を 1 日に 3 回更新し、必要に応じて頻度を上げることができます。

どの Microsoft マルウェア対策ソフトウェアが使用され、どのように構成されているかに応じて、ソフトウェアは、インターネットに接続されている場合、エンジンと定義の更新プログラムを毎日、毎日複数回検索できます。 お客様は、更新プログラムをいつでも手動でチェックすることもできます。

更新プログラムをインストールするにはどうすればよいですか?
この更新プログラムをインストールする方法の詳細については、「 推奨されるアクション」セクションを参照してください。

Microsoft マルウェア対策エンジンとは
Microsoft マルウェア対策エンジンは、mpengine.dll、Microsoft ウイルス対策およびスパイウェア対策ソフトウェアのスキャン、検出、およびクリーン機能を提供します。

この更新プログラムには、機能に対するセキュリティ関連の追加の変更が含まれていますか?
はい。  この脆弱性の一覧に記載されている変更に加えて、この更新プログラムには、セキュリティ関連の機能の向上に役立つ多層防御の更新プログラムが含まれています。

Microsoft マルウェア対策テクノロジに関する詳細情報はどこで確認できますか? 
詳細については、Microsoft マルウェア プロテクション センター Web サイトを参照してください。

Microsoft マルウェア対策エンジンのリモートでのコード実行の脆弱性 - CVE-2017-0290

Microsoft マルウェア対策エンジンが特別に細工されたファイルを適切にスキャンしないと、メモリが破損する可能性がある場合、リモートでコードが実行される脆弱性が存在します。

攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

この脆弱性を悪用するには、影響を受けるバージョンの Microsoft マルウェア対策エンジンによって特別に細工されたファイルをスキャンする必要があります。 攻撃者が Microsoft マルウェア保護エンジンによってスキャンされた場所に特別に細工されたファイルを配置する方法は多数あります。 たとえば、攻撃者は Web サイトを使用して、ユーザーが Web サイトを表示したときにスキャンされる、特別に細工されたファイルを被害者のシステムに配信する可能性があります。 攻撃者は、電子メール メッセージを介して、またはファイルを開いたときにスキャンされるインスタント メッセンジャー メッセージで、特別に細工されたファイルを配信する可能性もあります。 さらに、攻撃者は、ユーザーが提供するコンテンツを受け入れるかホストする Web サイトを利用して、特別に細工されたファイルを、ホスティング サーバー上で実行されているマルウェア保護エンジンによってスキャンされる共有の場所にアップロードする可能性があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイム保護が有効になっている場合、Microsoft マルウェア対策エンジンはファイルを自動的にスキャンし、特別に細工されたファイルがスキャンされたときに脆弱性が悪用されます。 リアルタイム スキャンが有効になっていない場合、攻撃者は、脆弱性が悪用されるためにスケジュールされたスキャンが発生するまで待機する必要があります。 影響を受けるバージョンのマルウェア対策ソフトウェアを実行しているすべてのシステムは、主に危険にさらされます。

この更新プログラムは、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンする方法を修正することで、この脆弱性を解決します。

Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。

Microsoft は、このセキュリティ アドバイザリが最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

推奨されるアクション

  • 更新プログラムがインストールされていることを確認する
    お客様は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、Microsoft マルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります。

    ソフトウェアが現在使用している Microsoft マルウェア対策エンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。

    影響を受けるソフトウェアの場合は、Microsoft マルウェア対策エンジンのバージョンが 1.1.13704.0 以降であることを確認します。

  • 必要に応じて、更新プログラムをインストールします
    エンタープライズマルウェア対策展開の管理は、更新プログラム管理ソフトウェアが、エンジンの更新プログラムと新しいマルウェア定義を自動的に承認して配布するように構成されていることを確認する必要があります。 また、エンタープライズ管理者は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、その環境でアクティブにダウンロード、承認、展開されていることを確認する必要があります。

    影響を受けるソフトウェアは、エンド ユーザーに対して、この更新プログラムの自動検出と展開のための組み込みメカニズムを提供します。 これらのお客様の場合、更新プログラムは利用可能から 48 時間以内に適用されます。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。 待機しないエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。

    Microsoft マルウェア対策エンジンとマルウェア定義を手動で更新する方法の詳細については、マイクロソフト サポート技術情報の記事2510781を参照してください

謝辞

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • Google Project Zero のナタリー・シルヴァノヴィッチとタビス・オーマンディ

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2017 年 5 月 8 日): アドバイザリが公開されました。
  • V1.1 (2017 年 5 月 11 日): セキュリティ更新プログラム ガイドの同じ情報へのリンクを追加しました。 これは情報の変更のみです。
  • V1.2 (2017 年 5 月 12 日): 影響を受けるソフトウェア テーブルにエントリを追加しました。 これは情報の変更のみです。

Page generated 2017-06-14 10:20-07:00.