セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2749655

署名された Microsoft バイナリに影響する互換性の問題

公開日: 2012 年 10 月 9 日 |更新日: 2012 年 12 月 11 日

バージョン: 2.0

一般情報

概要

Microsoft は、適切なタイムスタンプ属性なしで Microsoft によって生成された特定のデジタル証明書に関連する問題を認識しています。 これらのデジタル証明書は、後で一部の Microsoft コア コンポーネントとソフトウェア バイナリに署名するために使用されました。 これにより、影響を受けるバイナリと Microsoft Windows の間で互換性の問題が発生する可能性があります。 これはセキュリティ上の問題ではありませんが、Microsoft によって生成および署名されたファイルのデジタル署名は途中で期限切れになるため、この問題は、影響を受ける Microsoft コンポーネントとセキュリティ更新プログラムを適切にインストールおよびアンインストールする機能に悪影響を及ぼす可能性があります。

お客様を支援するための先制アクションとして、Microsoft は Microsoft Windows のサポートされているリリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。 更新プログラムの詳細については、 マイクロソフト サポート技術情報の記事2749655を参照してください。

さらに、Microsoft は、この問題の影響を受ける製品に対して更新プログラムを提供しています。 これらの更新プログラムは、再リリースされた更新プログラムの一部として提供されるか、顧客のニーズに応じて他のソフトウェア更新プログラムに含まれる場合があります。

推薦。 Microsoft では、更新管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することにより、この問題に対処するKB2749655更新プログラムと再リリースされた更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリ の「利用可能な再リリースの一覧 」および「 推奨されるアクション 」セクションを参照してください。

利用可能な再リリースの一覧

場合によっては、お客様のニーズを最適に満たすために、影響を受ける更新プログラムを再リースすることでこの問題に対処しています。

  • 2012 年 10 月 9 日、Microsoft は Windows XP 用のKB723135更新プログラムを再リリースしました。 詳細については、「 MS12-053」を参照してください。
  • 2012 年 10 月 9 日、Microsoft は Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 のKB2705219更新プログラムを再リリースしました。 詳細については、「 MS12-054」を参照してください。
  • 2012 年 10 月 9 日、Microsoft は Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 のKB2731847更新プログラムを再リリースしました。 詳細については、「 MS12-055」を参照してください。
  • 2012 年 10 月 9 日、Microsoft は、Microsoft Exchange Server 2007 Service Pack 3 (KB2756496)、Microsoft Exchange Server 2010 Service Pack 1 (KB2756497)、Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) の更新プログラムを再リリースしました。 詳細については、「 MS12-058」を参照してください。
  • 2012 年 10 月 9 日、Microsoft は Windows XP 用のKB2661254更新プログラムを再リリースしました。 詳細については、「 Microsoft セキュリティ アドバイザリ 2661254」を参照してください。
  • 2012 年 11 月 13 日、Microsoft は KB2598361 更新プログラムを Microsoft Office 2003 Service Pack 3 のKB2687626更新プログラムに置き換えられました。 詳細については、「 MS12-046」を参照してください。
  • 2012 年 12 月 11 日、Microsoft Office 2003 Service Pack 3 にインストールされている場合、Microsoft は KB2687324 更新プログラムを Microsoft XML Core Services 5.0 のKB2687627更新プログラムに置き換え、KB2596679更新プログラムを Microsoft XML Core Services のKB2687497更新プログラムに置き換えました5.0 Microsoft Groove 2007、Microsoft Groove Server 2007、および Microsoft Office SharePoint Server 2007 のすべての影響を受けるエディションと共にインストールする場合。 詳細については、「 MS12-043」を参照してください。
  • 2012 年 12 月 11 日に、Microsoft Office 2010 のすべての影響を受けるエディションについて、KB2553260更新プログラムとKB2589322更新プログラムをそれぞれKB2687501更新プログラムとKB2687510更新プログラムに置き換えました。 詳細については、「 MS12-057」を参照してください。
  • 2012 年 12 月 11 日に、Microsoft Visio 2010 の影響を受けるすべてのエディションのKB2597171更新プログラムをKB2687508更新プログラムに置き換えました。 詳細については、「 MS12-059」を参照してください。
  • 2012 年 12 月 11 日に、Microsoft Office 2003、Microsoft Office 2003 Web コンポーネント、および Microsoft SQL Server 2005 のすべての影響を受けるバリアントに対する Windows 共通コントロールのKB2726929更新プログラムに KB2687323置き換えられました。 詳細については、「 および MS12-060」を参照してください。

再リリースされた更新プログラムをインストールしない場合の影響に関する注意 元の更新プログラムをインストールしたお客様は、更新プログラムによって対処される脆弱性から保護されます。 ただし、実行可能イメージなどの不適切に署名されたファイルは、元の更新プログラムの署名プロセスで使用される CodeSign 証明書の有効期限後に正しく署名されたものとは見なされないため、有効期限の後に Microsoft Update によって一部のセキュリティ更新プログラムがインストールされない場合があります。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サードパーティのアプリケーションホワイトリストソリューションも影響を受ける可能性があります。 再リリースされた更新プログラムをインストールすると、影響を受ける更新プログラムの問題が修復されます。

アドバイザリの詳細

問題の参考資料

この問題の詳細については、次のリファレンスを参照してください。

参照 [識別]
Microsoft サポート技術情報の記事 \ 27496552756872

影響を受けるソフトウェア

このアドバイザリに関連付けられている更新プログラムは、次のソフトウェアに適用されます。

影響を受けるソフトウェア
オペレーティング システム
Windows XP Service Pack 3\ (KB2749655)
Windows XP Professional x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 Service Pack 2\ (KB2749655)
Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 と SP2 for Itanium ベースのシステム\ (KB2749655)
Windows Vista Service Pack 2\ (KB2749655)
Windows Vista x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2008 for 32 ビット システム Service Pack 2\ (KB2749655)
Windows Server 2008 for x64 ベースのシステム Service Pack 2\ (KB2749655)
Windows Server 2008 for Itanium ベースのシステム Service Pack 2\ (KB2749655)
Windows 7 for 32 ビット システム\ (KB2749655)
Windows 7 for 32 ビット システム Service Pack 1\ (KB2749655)
Windows 7 for x64 ベースのシステム\ (KB2749655)
Windows 7 for x64 ベースのシステム Service Pack 1\ (KB2749655)
Windows Server 2008 R2 for x64 ベースのシステム\ (KB2749655)
Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1\ (KB2749655)
Windows Server 2008 R2 for Itanium ベースのシステム\ (KB2749655)
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1\ (KB2749655)
32 ビット システムのWindows 8\ (KB2756872)
64 ビット システムのWindows 8\ (KB2756872)
Windows Server 2012\ (KB2756872)
Server Core インストール オプション
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)\ (KB2749655)
Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール)\ (KB2749655)
Windows Server 2008 R2 for x64 ベースのシステム (Server Core インストール)\ (KB2749655)
Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール)\ (KB2749655)
Windows Server 2012 (Server Core インストール)\ (KB2756872)

 

よく寄せられる質問

Windows 8とWindows Server 2012の更新プログラムはどこにありますか?
Windows 8とWindows Server 2012の更新プログラムは、"Windows 8 クライアントとWindows Server 2012一般提供累積更新プログラム" (KB2756872) に含まれています。 詳細とダウンロード リンクについては、「 Microsoft サポート技術情報の記事2756872」を参照してください。 これらの更新プログラムは、Microsoft Update および Windows Update からも入手できます。

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、適切なタイムスタンプ属性なしで Microsoft によって生成されたデジタル証明書で署名されたバイナリに関する問題をお客様に通知することです。

お客様を支援するための先制アクションとして、Microsoft は Microsoft Windows のサポートされているリリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 この更新プログラムは、Microsoft のお客様向けの既存の多層防御コンポーネントを改善し、Windows のセキュリティ関連機能の改善に役立ちます。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 それは矛盾ではありませんか?
セキュリティ アドバイザリは、セキュリティ情報を必要としない可能性があるが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題、またはセキュリティ情報がリリースされていない問題について、Microsoft がセキュリティ関連情報をお客様に伝える方法です。 この場合、セキュリティ更新プログラムを含む、後続の更新プログラムを実行する機能を決定する更新プログラムの可用性が伝達されます。 したがって、このアドバイザリは特定のセキュリティ脆弱性に対処しません。ではなく、全体的なセキュリティに対処します。

Microsoft は、Windows Authenticode Signature Verification 関数を使用するソフトウェアとコンポーネントの長期的な安定性と互換性を向上させるために、このコンポーネントの更新プログラムを発行しています。

この問題の原因は何ですか?
この問題は、Microsoft コア コンポーネントとソフトウェアの証明書の生成と署名中にタイムスタンプ拡張キー使用法 (EKU) 拡張機能が見つからない場合に発生します。 2012 年の 2 か月間使用された一部の証明書には、X.509 タイムスタンプ拡張キー使用法 (EKU) 拡張機能が含まれていませんでした。

この更新プログラムは何を行いますか?
この更新プログラムは、タイムスタンプ拡張キー使用法 (EKU) 拡張機能を使用しなかった特定の証明書で署名されたすべてのソフトウェアの継続的な機能を保証するのに役立ちます。 その機能を拡張するために、WinVerifyTrust は、これらの特定の X.509 署名に対するタイムスタンプ EKU の欠如を無視します

Microsoft がこの問題に対処するセキュリティ以外の更新プログラムをリリースしている場合、Microsoft もセキュリティ情報を再リリースするのはなぜですか?
この更新プログラムは、Windows またはインターネット エクスプローラーでファイルを表示または実行する場合など、証明書で Windows Authenticode 署名検証を使用するほとんどのケースに対応します。 ただし、すべての証明書の使用と検証機能が確実に対処されるようにするために、影響を受けるパッケージとソフトウェアが更新または再リリースされ、サード パーティの CodeSign 検証機能が正しく機能することを確認します。

この更新プログラムをインストールしない場合の影響は何ですか?
この更新がないと、署名プロセスで使用される CodeSign 証明書の有効期限後に、実行可能イメージなどの不適切に署名されたファイルは正しく署名されたとは見なされません。 たとえば、この更新プログラムがインストールされていない場合、Windows Updateは有効期限後に一部のセキュリティ更新プログラムをインストールしません。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サードパーティのアプリケーションホワイトリストソリューションも影響を受ける可能性があります。

影響を受けるコード署名証明書の有効期限はいつですか?
CodeSign 証明書には、さまざまな有効期限があります。 最も早い有効期限は 2012 年 11 月です。

タイムスタンプ拡張キー使用法 (EKU) 拡張機能はどのように使用されますか?
RFC3280ごとに、タイムスタンプ拡張キー使用法 (EKU) 拡張機能を使用して、オブジェクトのハッシュを一度にバインドします。 これらの署名付きステートメントは、特定の時点に署名が存在したことを示しています。 これらは、コード署名証明書の有効期限が切れているコード整合性の状況で使用され、証明書の有効期限が切れる前に署名が行われたかどうかを確認します。 証明書のタイムスタンプの詳細については、「 証明書のしくみ 」および「 Windows Authenticode ポータブル実行可能署名形式」を参照してください

デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書 は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーとその情報 (所有者、使用できる情報、期限切れなど) が含まれています。

この問題は、影響を受ける証明書の侵害を表していますか?
いいえ。 影響を受ける証明書はいかなる方法でも侵害されず、現時点ではお客様への影響は認識されていません。

Windows Authenticode Signature Verification 関数とは
Windows Authenticode Signature Verification 関数 (WinVerifyTrust) は、指定されたオブジェクトに対して信頼検証アクションを実行します。 関数は、アクション識別子が存在する場合は、アクション識別子をサポートする信頼プロバイダーに照会を渡します。 WinVerifyTrust 関数は、指定されたオブジェクトに対する署名チェックと信頼検証アクションの 2 つのアクションを実行します。 詳細については、「 WinVerifyTrust 関数」を参照してください。

この問題は開発者にどのような影響を与えますか?
開発者は、アプリケーションで影響を受ける再頒布可能パッケージを使用すると、この問題の影響を受ける可能性があります。 開発者のアプリケーションを使用するシステムにこの更新プログラムを適用すると、問題が修復されます。 さらに、Microsoft は、影響を受ける再頒布可能パッケージの更新バージョンを公開します。 開発者は、アプリケーションの将来の更新プログラムにこれらを組み込む必要があります。

Suggested Actions (推奨されるアクション)

Microsoft Windows のサポートされているリリースの更新プログラムを適用する

ほとんどのお客様は自動更新を有効にしており、KB2749655更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、「 Microsoft サポート技術情報の記事 294871」を参照してください。

管理者と企業のインストール、または更新プログラムを手動でインストールするエンド ユーザーの場合、Microsoft では、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することによって、この問題に対処するKB2749655更新プログラムと再リリースされた更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、「 Microsoft サポート技術情報の記事 2749655」を参照してください。

その他の推奨アクション

  • PC を保護する

    引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する、コンピューターの保護に関するガイダンスに従うことをお客様にお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。

  • Microsoft ソフトウェアの更新を維持する

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

その他の情報

フィードバック

サポート

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2012 年 10 月 9 日): アドバイザリが公開されました。
  • V1.1 (2012 年 10 月 9 日): このアドバイザリに関連付けられているWindows 8および Window Server 2012 の更新プログラムが、"Windows 8 クライアントとWindows Server 2012一般提供累積更新プログラム" (KB2756872) に含まれていることを明確にしました。 これは情報の変更のみです。 詳細については、アドバイザリに関する FAQ を参照してください。
  • V1.2 (2012 年 11 月 13 日): MS12-046 で説明されているKB2687626更新プログラムを、利用可能な再リリースの一覧に追加しました。
  • V2.0 (2012 年 12 月 11 日): MS12-043 で説明されているKB2687627更新プログラムとKB2687497更新プログラム、MS12-057 で説明されているKB2687501およびKB2687510更新プログラム、MS12-059 で説明されているKB2687508更新プログラム、および MS12-060 で説明されているKB2726929更新プログラムを、利用可能なリリースの一覧に追加しました。

2014-04-18T13:49:36Z-07:00 にビルド