Security Advisory
マイクロソフト セキュリティ アドバイザリ 2749655
署名されたマイクロソフト バイナリに影響を与える互換性の問題
公開日: 2012年10月9日 | 最終更新日: 2012年12月12日
バージョン: 2.0
概説
概要
マイクロソフトは、適切なタイムスタンプ属性なしにマイクロソフトにより生成された特定のデジタル証明書に関連する問題を確認しています。これらのデジタル証明書は、後で一部のマイクロソフト コア コンポーネントやソフトウェア バイナリへの署名に使用されました。これにより、影響を受けるバイナリと Microsoft Windows の間で互換性の問題が発生する可能性があります。マイクロソフトにより作成され、署名されたデジタル署名は早期に有効期限切れとなるため、これはセキュリティの問題ではありませんが、この問題は影響を受けるマイクロソフト コンポーネントやセキュリティ更新プログラムを正しくインストールおよびアンインストールする機能に悪影響を与える可能性があります。
お客様を支援する予防的措置として、マイクロソフトは Microsoft Windows のサポートされるリリース向けにセキュリティ以外の更新プログラムを提供しています。この更新プログラムにより、Microsoft Windows と、影響を受けるソフトウェア バイナリの間の互換性が確保されます。更新プログラムの詳細については、サポート技術情報 2749655 を参照してください。
さらに、マイクロソフトはこの問題により影響を受ける製品で更新プログラムが利用可能になったときに更新プログラムを提供する予定です。これらの更新プログラムは、お客様のニーズに応じて再リリースされた更新プログラムの一部として、または他のソフトウェア更新プログラムに含めて提供される可能性があります。
推奨する対応策: マイクロソフトはお客様に更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、KB2749655 とこの問題を解決する再リリースされた更新プログラムを直ちに適用することを推奨します。詳細については、このセキュリティアドバイザリの「利用可能な再リリース」および「推奨するアクション」の欄を参照してください。
利用可能な再リリース
場合によっては、マイクロソフトはお客様のニーズに合うように、影響を受ける更新プログラムの再リリースによってこの問題を解決する予定です。
- 2012 年 10 月 10 日、マイクロソフトは Windows XP 向けの KB723135 更新プログラムを再リリースしました。詳細については、 MS12-053 を参照してください。
- 2012 年 10 月 10 日、マイクロソフトは Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 向けの KB2705219 更新プログラムを再リリースしました。詳細については、 MS12-054 を参照してください。
- 2012 年 10 月 10 日、マイクロソフトは Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 向けの KB2731847 更新プログラムを再リリースしました。詳細については、 MS12-055 を参照してください。
- 2012 年 10 月 10 日、マイクロソフトは Microsoft Exchange Server 2007 Service Pack 3 (KB2756496)、Microsoft Exchange Server 2010 Service Pack 1 (KB2756497)、および Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) 向けの更新プログラムを再リリースしました。詳細については、 MS12-058 を参照してください。
- 2012 年 10 月 10 日、マイクロソフトは Windows XP 向けの KB2661254 更新プログラムを再リリースしました。詳細については、「 マイクロソフト セキュリティ アドバイザリ 2661254 」を参照してください。
- 2012 年 11 月 14 日、マイクロソフトは、Microsoft Office 2003 Service Pack 3 用の KB2598361 更新プログラムを KB2687626 更新プログラムに置き換えました。詳細については、 MS12-046 を参照してください。
- 2012 年 12 月 12 日、マイクロソフトは、Microsoft Office 2003 Service Pack 3 上にインストールされた Microsoft XML コア サービス 5.0 用の KB2687324 更新プログラムを KB2687627 更新プログラムに置き換え、影響を受けるすべてのエディションの Microsoft Groove 2007、Microsoft Groove Server 2007、および Microsoft Office SharePoint Server 2007 と共にインストールされる Microsoft XML コア サービス 5.0 用の KB2596679 更新プログラムを KB2687497 更新プログラムに置き換えました。詳細については、 MS12-043 を参照してください。
- 2012 年 12 月 12 日、マイクロソフトは、影響を受けるすべてのエディションの Microsoft Office 2010 用の KB2553260 および KB2589322 更新プログラムをそれぞれ KB2687501 および KB2687510 更新プログラムに置き換えました。詳細については、 MS12-057 を参照してください。
- 2012 年 12 月 12 日、マイクロソフトは、影響を受けるすべてのエディションの Microsoft Visio 2010 用の KB2597171 更新プログラムを KB2687508 更新プログラムに置き換えました。詳細については、 MS12-059 を参照してください。
- 2012 年 12 月 12 日、マイクロソフトは、影響を受けるすべてのバリエーションの Microsoft Office 2003、Microsoft Office 2003 Web Components、および Microsoft SQL Server 2005 上の Windows コモン コントロール 用の KB2687323 更新プログラムを KB2726929 更新プログラムに置き換えました。詳細については、 MS12-060 を参照してください。
再リリースされた更新プログラムをインストールしない場合の影響に関する注意事項 元の更新プログラムをインストールしたお客様は更新プログラムで解決された脆弱性から保護されています。ただし、実行可能な画像など、不適切に署名されたファイルは元の更新プログラムの署名処理で使用された CodeSign 証明書の有効期限以降に正しく署名されたものとは見なされないため、Microsoft Update では、有効期限日以降一部のセキュリティ更新プログラムをインストールできない可能性があります。他の影響として、アプリケーション インストーラーでエラー メッセージが表示される場合があります。サードパーティ アプリケーションのホワイトリスト ソリューションも影響を受ける可能性があります。再リリースされた更新プログラムをインストールすることにより、影響を受ける更新プログラムの問題が解決されます。
アドバイザリの詳細
問題に関する参照情報
この問題に関する詳細情報は、次の参照情報をご確認ください。
| 参照情報 | ID |
|---|---|
| サポート技術情報 | 2749655 2756872 |
影響を受けるソフトウェア
このアドバイザリに関連する更新プログラムは、次のソフトウェアが該当します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 Service Pack 2 (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 with SP2 for Itanium-based Systems (KB2749655) |
| Windows Vista Service Pack 2 (KB2749655) |
| Windows Vista x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (KB2749655) |
| Windows Server 2008 for x64-based Systems Service Pack 2 (KB2749655) |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (KB2749655) |
| Windows 7 for 32-bit Systems (KB2749655) |
| Windows 7 for 32-bit Systems Service Pack 1 (KB2749655) |
| Windows 7 for x64-based Systems (KB2749655) |
| Windows 7 for x64-based Systems Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 for x64-based Systems (KB2749655) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 for Itanium-based Systems (KB2749655) |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (KB2749655) |
| Windows 8 for 32-bit Systems (KB2756872) |
| Windows 8 for 64-bit Systems (KB2756872) |
| Windows Server 2012 (KB2756872) |
| Server Core インストール オプション |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール) (KB2749655) |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール) (KB2749655) |
| Windows Server 2008 R2 for x64-based Systems (Server Core インストール) (KB2749655) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) (KB2749655) |
| Windows Server 2012 (Server Core インストール) (KB2756872) |
よく寄せられる質問
Windows 8 および Windows Server 2012 用の更新プログラムはどこに ありますか?
Windows 8 および Windows Server 2012 用の更新プログラムは、「Windows 8 および Windows Server 2012 の累積的な更新プログラム」(KB2756872) に含まれています。詳細およびダウンロード リンクについては、サポート技術情報 2756872 を参照してください。これらの更新プログラムは、Microsoft Update および Windows Update からも入手できます。
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、適切なタイムスタンプ属性なしにマイクロソフトにより生成された特定のデジタル証明書を使って署名されたバイナリに関連する問題をお客様に通知することです。
お客様を支援する予防的措置として、マイクロソフトは Microsoft Windows のサポートされるリリース向けにセキュリティ以外の更新プログラムを提供しています。この更新プログラムにより、Microsoft Windows と、影響を受けるソフトウェア バイナリの間の互換性が確保されます。
これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか?
いいえ。この更新プログラムは、マイクロソフトのお客様の既存の多層防御コンポーネントを改善して Windows のセキュリティ関連機能を強化します。
これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。矛盾がありませんか?
セキュリティ アドバイザリは、セキュリティ情報が必要ないものの、お客様のセキュリティ全体に影響を与える可能性があるセキュリティの変更を解決します。セキュリティ アドバイザリは、脆弱性として分類されておらずセキュリティ情報の公開を必要としない問題、またはセキュリティ情報がリリースされていない問題について、マイクロソフトがお客様に提供するセキュリティ関連の情報です。今回の場合、マイクロソフトはセキュリティ更新プログラムを含む今後の更新プログラムの実行を決定する更新プログラムの提供をお伝えしています。従って、このアドバイザリは特定のセキュリティの脆弱性を解決するというよりはむしろ、お客様のセキュリティ全般に対応するものです。
マイクロソフトは、Windows Authenticode Signature Verification 機能を使用するソフトウェアおよびコンポーネントの長期的な安定性と互換性を改善するために、このコンポーネント用の更新プログラムを提供しています。
何が原因で起こりますか?
この問題は、証明書生成中に Enhanced Key Usage (EKU) 拡張がないこと、およびマイクロソフト コア コンポーネントやソフトウェアへの署名が原因で発生します。2012 年の 2 か月間に使用された一部の証明書は X.509 タイムスタンプ Enhanced Key Usage (EKU) 拡張を含んでいませんでした。
この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、タイムスタンプ Enhanced Key Usage (EKU) 拡張を使用していない特定の証明書により署名されたすべてのソフトウェアが引き続き機能するようにします。引き続き機能するように、WinVerifyTrust はこれらの特定の X.509 署名についてタイムスタンプ EKU の欠如を無視します。
マイクロソフトがこの問題を解決するセキュリティ以外の更新プログラムをリリースしている場合、マイクロソフトはセキュリティ情報の再再リリースも行う予定ですか? この更新プログラムは、Windows や Internet Explorer でファイルを表示または実行するときなど、Windows Authenticode Signature Verification を使用するほとんどのケースを解決します。ただし、すべての証明書の使用と検証機能が解決されることに加え、サードパーティ CodeSign 検証機能が正しく機能するように、影響を受けるパッケージとソフトウェアを更新または再リリースする予定です。
更新プログラムをインストールしない場合の影響は何ですか?
この更新プログラムをインストールしない場合、実行可能な画像など、署名処理で使用された CodeSign 証明書の有効期限以降に正しく署名されたものとは見なされません。たとえば、この更新プログラムがインストールされてない場合、Windows Update は有効期限日以降、一部のセキュリティ更新プログラムをインストールしません。他の影響として、アプリケーション インストーラーでエラー メッセージが表示される場合があります。サードパーティ アプリケーションのホワイトリスト ソリューションも影響を受ける可能性があります。
影響を受けるコード署名証明書はいつ期限が切れますか?
CodeSign 証明書の有効期限日はさまざまです。最も早い有効期限日は 2012 年 11 月です。
タイムスタンプ Enhanced Key Usage (EKU) 拡張はどのように使用されますか?
RFC3280 に従って、タイムスタンプ Enhanced Key Usage (EKU) 拡張はオブジェクトのハッシュを時間にバインドするために使用されます。これらの署名されたステートメントは、特定の時点に署名が存在していたことを示します。これらは、署名が証明書の期限切れの前に作成されたことを確認するためにコードの整合性状況で使用されます。証明書のタイムスタンプの詳細については、「How Certificates Work」および「Windows Authenticode Portable Executable Signature Format」を参照してください。
デジタル証明書とは何ですか?
公開キー暗号化では、キーの 1 つ (秘密キーと呼ばれています) は秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。 デジタル証明書はこれを実行する方法を提供します。デジタル証明書は、個人、組織、およびコンピューターのオンライン アイデンティティを証明するために使用される電子資格情報です。デジタル証明書は、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、そのほかの関連情報) を含みます。
この問題は、影響を受ける証明書が危害を受けることを表していますか?
いいえ。影響を受ける証明書が危害を受けることはありません。この時点でお客様への影響は確認されていません。
Windows Authenticode Signature Verification の機能とは何ですか?
Windows Authenticode Signature Verification (WinVerifyTrust) の機能は、特定のオブジェクトで信頼できる検証動作を実行します。この機能は、信頼できるプロバイダーが存在して実行の識別子をサポートする場合に、照会を渡します。WinVerifyTrust の機能は、特定のオブジェクトの署名の確認および信頼できる検証動作の 2 種類の動作を実行します 。詳細については、「WinVerifyTrust Function」を参照してください。
この問題は開発者にどのような影響がありますか?
開発者は、アプリケーションで影響を受ける再頒布可能パッケージを使用するときにこの問題により影響を受ける可能性があります。開発者のアプリケーションを使用するシステム上にこの更新プログラムを適用することにより、この問題が解決されます。また、マイクロソフトは影響を受ける再頒布可能パッケージの更新されたバージョンを公開する予定です。開発者は、アプリケーション向けの将来パッケージにこれらを組み込む必要があります。
推奨するアクション
サポートされているリリースの Microsoft Windows への更新プログラムの適用
自動更新を有効にしている大多数のお客様は、更新プログラム KB2749655 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズ インストール、または更新プログラムを手動でインストールしたいエンド ユーザーについては、マイクロソフトは、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することにより、この問題を解決している KB2749655 更新プログラムおよび再リリースされたすべての更新プログラムを即座に適用することを推奨します。この更新プログラムを手動で適用する方法の詳細については、サポート技術情報 2749655 を参照してください。
追加の推奨されるアクション
コンピューターを守る
マイクロソフトは、お客様が引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。
マイクロソフトのソフトウェアを最新の状態に保つ
マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。
関連情報
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
- Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2012/10/10):アドバイザリを公開しました。
- V1.1 (2012/10/12):このアドバイザリに関連する Windows 8 および Windows Server 2012 用の更新プログラムが「Windows 8 および Windows Server 2012 の累積的な更新プログラム」(KB2756872) に含まれていることを説明しました。今回の更新は情報のみの変更です。詳細については、このアドバイザリの「よく寄せられる質問」を参照してください。
- V1.2 (2012/11/14):MS12-046 で説明している KB2687626 更新プログラムを、利用可能な再リリースの一覧に追加しました。
- V2.0 (2012/12/12):MS12-043 で説明している KB2687627 および KB2687497 更新プログラム、MS12-057 で説明している KB2687501 および KB2687510 更新プログラム、MS12-059 で説明している KB2687508 更新プログラム、および MS12-060 で説明している KB2726929 更新プログラムを、利用可能な再リリースの一覧に追加しました。
Built at 2014-04-18T13:49:36Z-07:00