次の方法で共有


セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2736233

ActiveX キル ビットの更新プログラムのロールアップ

公開日: 2012 年 9 月 11 日

バージョン: 1.0

一般情報

概要

Microsoft では、このアドバイザリを使用して、ActiveX キル ビットの新しいセットをリリースしています。

この更新プログラムは、次のサード パーティ製ソフトウェアのキル ビットを設定します。

  • Cisco Secure Desktop。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco セキュア デスクトップ ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect セキュア モビリティ クライアントの複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は、このアドバイザリの 「サード パーティのキル ビット 」セクションに記載されています。
  • Cisco Hostscan。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco Hostscan ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect セキュア モビリティ クライアントの複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は、このアドバイザリの 「サード パーティのキル ビット 」セクションに記載されています。
  • Cisco AnyConnect セキュア モビリティ クライアント。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco AnyConnect Secure Mobility Client ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect Secure Mobility Client の複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は、このアドバイザリの 「サード パーティのキル ビット 」セクションに記載されています。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

リファレンス [識別]
Microsoft サポート技術情報の記事 2736233 

このアドバイザリでは、次のソフトウェアについて説明します。

関連ソフトウェア
オペレーティング システム
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用 Windows Server 2003 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 ビット システム Service Pack 2
x64 ベースシステム Service Pack 2 用 Windows Server 2008
Windows Server 2008 for Itanium ベースのシステム Service Pack 2
Windows 7 for 32 ビット システム
Windows 7 for 32 ビット システム Service Pack 1
Windows 7 for x64 ベースのシステム
Windows 7 for x64 ベースのシステム Service Pack 1
x64 ベース システム用 Windows Server 2008 R2
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1

 

影響を受けるソフトウェア以外のソフトウェア
Server Core のインストール オプション
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール)
x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール)
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール)

よく寄せられる質問

このアドバイザリは Server Core のインストールに適用されますか?
このアドバイザリは、Server Core インストール オプションを使用してインストールする場合、サポートされている Windows Server 2008 または Windows Server 2008 R2 のエディションには適用されません。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。

この更新プログラムは、ActiveX キル ビット (2618451) の累積的なセキュリティ更新プログラムを置き換えますか?
いいえ。自動更新のために、この更新プログラムは、Microsoft セキュリティ情報 MS11-090 に記載されている ActiveX Kill Bits (2618451) の累積的なセキュリティ更新プログラムを置き換えるものではありません。 自動更新では、この更新プログラム (2736233) がインストールされているかどうかに関係なく、MS11-090 更新プログラムが引き続きお客様に提供される場合があります。 ただし、この更新プログラム (2695962) をインストールするユーザーは、MS11-090 で設定されたすべてのキル ビットで保護するために MS11-090 更新プログラムをインストールする必要はありません。

ActiveX キル ビットのこの更新プログラムロールアップには、どのようなキル ビットが含まれていますか?
ActiveX キル ビットのこの更新プログラムロールアップには、新しいキル ビットと、以前に MS08-023リリースされたすべてのキル ビット、ActiveX Kill Bits のセキュリティ更新プログラムが含まれています。MS08-032、ActiveX キル ビットの累積的なセキュリティ更新プログラム。 MS09-032、ActiveX キル ビットの累積的なセキュリティ更新プログラム。 MS09-055、ActiveX キル ビットの累積的なセキュリティ更新プログラム。MS10-008、ActiveX キル ビットの累積的なセキュリティ更新プログラム。 MS10-034、ActiveX キル ビットの累積的なセキュリティ更新プログラム。MS11-027、ActiveX キル ビットの累積的なセキュリティ更新プログラム。 MS11-090、ActiveX Kill Bits の累積的なセキュリティ更新プログラム、および ActiveX Kill Bits の更新プログラムロールアップ、Microsoft セキュリティ アドバイザリ 953839、Microsoft セキュリティ アドバイザリ 956391Microsoft セキュリティ アドバイザリ 960715、Microsoft セキュリティ アドバイザリ 969898、Microsoft セキュリティ アドバイザリ 2562937Microsoft セキュリティ アドバイザリ 2647518、および Microsoft セキュリティ アドバイザリ 2695962というアドバイザリ。

以前のキル ビット更新プログラムがセキュリティ情報でリリースされたときに、セキュリティ アドバイザリを使用して ActiveX Kill Bits 用のこの更新プログラムロールアップをリリースするのはなぜですか?
新しいキル ビットは Microsoft ソフトウェアに影響しないため、Microsoft は、ActiveX Kill Bits のこの更新プログラムロールアップをアドバイザリと共にリリースします。

キル ビットとは
Microsoft Internet エクスプローラー のセキュリティ機能により、ActiveX コントロールがインターネット エクスプローラー HTML レンダリング エンジンによって読み込まれないようにできます。 これはレジストリ設定を行うことによって行われ、強制終了ビットの設定と呼ばれます。 強制終了ビットが設定された後、コントロールが完全にインストールされている場合でも、コントロールを読み込むことはありません。 キルビットを設定すると、脆弱なコンポーネントが導入された場合やシステムに再導入された場合でもメイン不活性で無害になります。

キル ビットの詳細については、「Microsoft サポート技術情報の記事 240797: インターネット エクスプローラーで ActiveX コントロールの実行を停止する方法」を参照してください。

この更新プログラムにバイナリ ファイルが含まれていないのはなぜですか?
この更新プログラムは、インターネット エクスプローラーでのコントロールのインスタンス化を無効にするためにレジストリに変更を加えるだけです。

影響を受けるコンポーネントがインストールされていない場合、または影響を受けるプラットフォームを使用していない場合は、この更新プログラムをインストールする必要がありますか?
はい。 この更新プログラムをインストールすると、脆弱なコントロールがインターネット エクスプローラーで実行されなくなります。

この更新プログラムには、Microsoft 固有ではないキル ビットが含まれていますか?
はい。 Microsoft は、組織が所有し、脆弱であることが判明したコントロールのキル ビットを設定するよう組織から要求されています。 「脆弱性情報」セクションのサブセクション「サード パーティのキル ビット」を参照してください。

この更新プログラムには、インターネット エクスプローラー セキュリティ更新プログラムで以前にリリースされたキル ビットが含まれていますか?
いいえ。この更新プログラムには、インターネット エクスプローラー セキュリティ更新プログラムで以前にリリースされたキル ビットは含まれません。 インターネット エクスプローラー用の最新の累積的なセキュリティ更新プログラムをインストールすることをお勧めします。

このアドバイザリにセキュリティ評価が関連付けられていないのはなぜですか?
この更新プログラムには、サード パーティ製コントロール用の新しいキル ビットが含まれています。 Microsoft は、脆弱なサード パーティのコントロールに対するセキュリティ評価を提供していません。

推奨されるアクション

このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認する

Microsoft では、お客様にこの更新プログラムのインストールを推奨しています。 この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2736233を参照してください。

対処方法

回避策とは、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更のことです。

  • COM オブジェクトがインターネット エクスプローラーで実行されないようにする

    レジストリ内のコントロールの強制終了ビットを設定することで、インターネット エクスプローラーで COM オブジェクトをインスタンス化する試行を無効にすることができます。

    警告 レジストリ エディターを正しく使用しない場合は、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの不適切な使用によって生じた問題については、解決を保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

    {705ec6d4-b138-4079-a307-ef13e4889a82} の値を持つ CLSID のキル ビットを設定するには、 {f8fc1530-0608-11df-2008-0800200c9a66}, {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}, {55963676-2f5e-4baf-ac28-cf26aa587566}、{cc679cb8-dc4b-458b-b817-d447b3b6ac31} は、次のテキストをメモ帳などのテキスト エディターに貼り付けます。 次に、.regファイル名拡張子を使用してファイルを保存します。

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{705ec6d4-b138-4079-a307-ef13e4889a82 "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f8fc1530-0608-11df-2008-0800200c9a66}] "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}] "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{55963676-2f5e-4baf-ac28-cf26aa587566}] "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{cc679cb8-dc4b-458b-b817-d447b3b6ac31}] "Compatibility Flags"=dword:00000400

    この.regファイルは、ダブルクリックして個々のシステムに適用できます。 グループ ポリシーを使用して、doメイン 全体に適用することもできます。 グループ ポリシーの詳細については、TechNet の記事 「グループ ポリシーコレクション」を参照してください。

    注: 変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

    回避策の影響。 オブジェクトがインターネット エクスプローラーで使用されることを意図していない限り、影響はありません。

    回避策を元に戻す方法。 この回避策の実装で以前に追加したレジストリ キーを削除します。

     

サード パーティのキル ビット

この更新プログラムには、次の ActiveX コントロールがインターネット エクスプローラーで実行されないようにするキル ビットが含まれています。

  • Cisco Secure Desktop。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco セキュア デスクトップ ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect セキュア モビリティ クライアントの複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は次のとおりです。
    • {705ec6d4-b138-4079-a307-ef13e4889a82}
    • {f8fc1530-0608-11df-2008-0800200c9a66}
    • {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}
  • Cisco Hostscan。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco Hostscan ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect セキュア モビリティ クライアントの複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は次のとおりです。
    • {f8fc1530-0608-11df-2008-0800200c9a66}
    • {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}
  • Cisco AnyConnect セキュア モビリティ クライアント。 次のクラス識別子は、脆弱な ActiveX コントロールのキル ビットを設定する Cisco の要求に関連しています。 Cisco AnyConnect Secure Mobility Client ActiveX コントロールのセキュリティの問題の詳細については、Cisco セキュリティ アドバイザリ、 Cisco AnyConnect Secure Mobility Client の複数の脆弱性を参照してください。 この ActiveX コントロールのクラス識別子 (CLSID) は次のとおりです。
    • {55963676-2f5e-4baf-ac28-cf26aa587566}
    • {cc679cb8-dc4b-458b-b817-d447b3b6ac31}

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2012 年 9 月 11 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00