セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2749655
署名された Microsoft バイナリに影響する互換性の問題
公開日: 2012 年 10 月 9 日 |更新日: 2012 年 12 月 11 日
バージョン: 2.0
一般情報
概要
Microsoft は、適切なタイムスタンプ属性なしで Microsoft によって生成された特定のデジタル証明書に関連する問題を認識しています。 これらのデジタル証明書は、後で一部の Microsoft コア コンポーネントとソフトウェア バイナリに署名するために使用されました。 これにより、影響を受けるバイナリと Microsoft Windows の間で互換性の問題が発生する可能性があります。 これはセキュリティ上の問題ではありませんが、Microsoft によって生成および署名されたファイルのデジタル署名は途中で期限切れになるため、この問題は、影響を受ける Microsoft コンポーネントとセキュリティ更新プログラムを適切にインストールおよびアンインストールする機能に悪影響を及ぼす可能性があります。
お客様を支援するための先制アクションとして、Microsoft は Microsoft Windows のサポートされているリリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。 更新プログラムの詳細については、 マイクロソフト サポート技術情報の記事2749655を参照してください。
さらに、Microsoft は、この問題の影響を受ける製品に対して更新プログラムを提供しています。 これらの更新プログラムは、再リリースされた更新プログラムの一部として提供されるか、顧客のニーズに応じて他のソフトウェア更新プログラムに含まれる場合があります。
推薦。 Microsoft では、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することにより、この問題に対処する KB2749655 更新プログラムと再リリースされた更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリ の「利用可能な再リリースの一覧 」および「 推奨されるアクション 」セクションを参照してください。
利用可能な再リリースの一覧
場合によっては、お客様のニーズを最適に満たすために、影響を受ける更新プログラムを再リースすることでこの問題に対処しています。
- 2012 年 10 月 9 日、Microsoft は Windows XP 用 KB723135 更新プログラムを再リリースしました。 詳細については、「 MS12-053」を参照してください。
- 2012 年 10 月 9 日、Microsoft は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 用の KB2705219 更新プログラムを再リリースしました。 詳細については、「 MS12-054」を参照してください。
- 2012 年 10 月 9 日、Microsoft は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 用の KB2731847 更新プログラムを再リリースしました。 詳細については、「 MS12-055」を参照してください。
- 2012 年 10 月 9 日、Microsoft は、Microsoft Exchange Server 2007 Service Pack 3 (KB2756496)、Microsoft Exchange Server 2010 Service Pack 1 (KB2756497)、Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) の更新プログラムを再リリースしました。 詳細については、「 MS12-058」を参照してください。
- 2012 年 10 月 9 日、Microsoft は Windows XP 用 KB2661254 更新プログラムを再リリースしました。 詳細については、「 Microsoft セキュリティ アドバイザリ 2661254」を参照してください。
- 2012 年 11 月 13 日、Microsoft は KB2598361 更新プログラムを Microsoft Office 2003 Service Pack 3 の KB2687626 更新プログラムに置き換えます。 詳細については、「 MS12-046」を参照してください。
- 2012 年 12 月 11 日、Microsoft Office 2003 Service Pack 3 にインストールされている場合、Microsoft は KB2687324 更新プログラムを Microsoft XML Core Services 5.0 の KB2687627 更新プログラムに置き換え、KB2596679 更新プログラムを KB2687497 更新プログラムに置き換えましたMicrosoft XML Core Services5.0 Microsoft Groove 2007、Microsoft Groove Server 2007、および Microsoft Office SharePoint Server 2007 のすべての影響を受けるエディションと共にインストールする場合。 詳細については、「 MS12-043」を参照してください。
- 2012 年 12 月 11 日に、Microsoft は KB2553260 および KB2589322 更新プログラムを、影響を受ける Microsoft Office 2010 のすべてのエディションについて、それぞれ KB2687501 および KB2687510 更新プログラムに置き換えました。 詳細については、「 MS12-057」を参照してください。
- 2012 年 12 月 11 日、Microsoft は、影響を受けるすべてのエディションの Microsoft Visio 2010 の KB2597171 更新プログラムを KB2687508 更新プログラムに置き換えました。 詳細については、「 MS12-059」を参照してください。
- 2012 年 12 月 11 日、Microsoft は KB2687323 更新プログラムを、Microsoft Office 2003、Microsoft Office 2003 Web コンポーネント、Microsoft SQL Server 2005 のすべての影響を受けるバリアントに対する Windows 共通コントロールの KB2726929 更新プログラムに置き換えました。 詳細については、「 および MS12-060」を参照してください。
再リリースされた更新プログラムをインストールしない場合の影響に関する注意 元の更新プログラムをインストールしたお客様は、更新プログラムによって対処される脆弱性から保護されます。 ただし、実行可能イメージなどの不適切に署名されたファイルは、元の更新プログラムの署名プロセスで使用される CodeSign 証明書の有効期限後に正しく署名されたものとは見なされないため、有効期限の後に Microsoft Update によって一部のセキュリティ更新プログラムがインストールされない場合があります。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サードパーティのアプリケーションホワイトリストソリューションも影響を受ける可能性があります。 再リリースされた更新プログラムをインストールすると、影響を受ける更新プログラムの問題が修復されます。
アドバイザリの詳細
問題の参考資料
この問題の詳細については、次のリファレンスを参照してください。
| 参照 | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | \ 27496552756872 |
影響を受けるソフトウェア
このアドバイザリに関連付けられている更新プログラムは、次のソフトウェアに適用されます。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 と SP2 for Itanium ベースのシステム\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 for 32 ビット システム Service Pack 2\ (KB2749655) |
| Windows Server 2008 for x64 ベースのシステム Service Pack 2\ (KB2749655) |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2\ (KB2749655) |
| Windows 7 for 32 ビット システム\ (KB2749655) |
| Windows 7 for 32 ビット システム Service Pack 1\ (KB2749655) |
| Windows 7 for x64 ベースのシステム\ (KB2749655) |
| Windows 7 for x64 ベースのシステム Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 for x64-based Systems\ (KB2749655) |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 for Itanium ベースのシステム\ (KB2749655) |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1\ (KB2749655) |
| Windows 8 for 32 ビット システム\ (KB2756872) |
| Windows 8 for 64 ビット システム\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Server Core インストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)\ (KB2749655) |
| Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール)\ (KB2749655) |
| Windows Server 2008 R2 for x64 ベースのシステム (Server Core インストール)\ (KB2749655) |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール)\ (KB2749655) |
| Windows Server 2012 (Server Core インストール)\ (KB2756872) |
よく寄せられる質問
Windows 8 と Windows Server 2012 の更新プログラムはどこにありますか?
Windows 8 および Windows Server 2012 の更新プログラムは、"Windows 8 クライアントおよび Windows Server 2012 一般提供累積的な更新プログラム" (KB2756872) に含まれています。 詳細とダウンロード リンクについては、「 Microsoft サポート技術情報の記事2756872」を参照してください。 これらの更新プログラムは、Microsoft Update および Windows Update からも入手できます。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、適切なタイムスタンプ属性なしで Microsoft によって生成されたデジタル証明書で署名されたバイナリに関する問題をお客様に通知することです。
お客様を支援するための先制アクションとして、Microsoft は Microsoft Windows のサポートされているリリース用のセキュリティ以外の更新プログラムを提供しています。 この更新プログラムは、Microsoft Windows と影響を受けるソフトウェア バイナリ間の互換性を確保するのに役立ちます。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 この更新プログラムは、Microsoft のお客様向けの既存の多層防御コンポーネントを改善し、Windows のセキュリティ関連機能の改善に役立ちます。
これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 それは矛盾ではありませんか?
セキュリティ アドバイザリは、セキュリティ情報を必要としない可能性があるが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題、またはセキュリティ情報がリリースされていない問題について、Microsoft がセキュリティ関連情報をお客様に伝える方法です。 この場合、セキュリティ更新プログラムを含む後続の更新プログラムを実行する機能を決定する更新プログラムの可用性を伝える予定です。 したがって、このアドバイザリでは、特定のセキュリティの脆弱性には対処しません。むしろ、それはあなたの全体的なセキュリティに対処します。
Microsoft は、Windows Authenticode 署名検証機能を使用するソフトウェアとコンポーネントの長期的な安定性と互換性を向上させるために、このコンポーネントの更新プログラムを発行しています。
この問題の原因は何ですか?
この問題は、Microsoft コア コンポーネントとソフトウェアの証明書の生成と署名中にタイムスタンプ拡張キー使用法 (EKU) 拡張機能が不足していることが原因で発生します。 2012 年の 2 か月間使用された一部の証明書には、X.509 タイムスタンプ拡張キー使用法 (EKU) 拡張機能が含まれていませんでした。
この更新プログラムは何を行いますか?
この更新プログラムは、タイムスタンプ拡張キー使用法 (EKU) 拡張機能を使用しなかった特定の証明書で署名されたすべてのソフトウェアの継続的な機能を確保するのに役立ちます。 これらの機能を拡張するために、WinVerifyTrust は、これらの特定の X.509 署名に対するタイムスタンプ EKU の欠如を無視します
Microsoft がこの問題に対処するセキュリティ以外の更新プログラムをリリースしている場合、Microsoft もセキュリティ情報を再リリースするのはなぜですか?
この更新プログラムは、Windows またはインターネット エクスプローラーでファイルを表示または実行する場合など、証明書が Windows Authenticode 署名検証を使用するほとんどの場合に対応します。 ただし、すべての証明書の使用と検証の機能に確実に対処するために、影響を受けるパッケージとソフトウェアが更新または再リリースされ、サードパーティの CodeSign 検証が正しく機能することを確認します。
この更新プログラムをインストールしないことの影響は何ですか?
この更新がないと、実行可能イメージなどの不適切に署名されたファイルは、署名プロセスで使用される CodeSign 証明書の有効期限後に正しく署名されていると見なされません。 たとえば、この更新プログラムがインストールされていない場合、Windows Updateは有効期限の後に一部のセキュリティ更新プログラムをインストールしません。 その他の効果としては、たとえば、アプリケーション インストーラーにエラー メッセージが表示される場合があります。 サードパーティのアプリケーションホワイトリストソリューションも影響を受ける可能性があります。
影響を受けるコード署名証明書の有効期限はいつですか?
CodeSign 証明書には、さまざまな有効期限があります。 最も早い有効期限は 2012 年 11 月です。
タイムスタンプ拡張キー使用法 (EKU) 拡張機能はどのように使用されますか?
RFC3280 では、タイムスタンプ拡張キー使用法 (EKU) 拡張機能を使用して、オブジェクトのハッシュを一度にバインドします。 これらの署名付きステートメントは、特定の時点に署名が存在したことを示しています。 これらは、コード署名証明書の有効期限が切れたときのコード整合性の状況で使用され、証明書の有効期限が切れる前に署名が行われたかどうかを確認します。 証明書のタイムスタンプの詳細については、「 証明書のしくみ 」および 「Windows Authenticode ポータブル実行可能署名形式」を参照してください。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるキーの 1 つを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書 は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーに関する情報 (誰が所有しているのか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。
この問題は、影響を受ける証明書の侵害を表していますか?
いいえ。 影響を受ける証明書はいかなる方法でも侵害されず、現時点ではお客様への影響を認識していません。
Windows Authenticode Signature Verification 関数とは
Windows Authenticode Signature Verification 関数 (WinVerifyTrust) は、指定されたオブジェクトに対して信頼検証アクションを実行します。 この関数は、アクション識別子をサポートする信頼プロバイダー (存在する場合) に照会を渡します。 WinVerifyTrust 関数は、指定されたオブジェクトに対する署名チェックと信頼検証アクションの 2 つのアクションを実行します。 詳細については、「 WinVerifyTrust 関数」を参照してください。
この問題は開発者にどのような影響を与えますか?
開発者は、アプリケーションで影響を受ける再頒布可能パッケージを使用する場合に、この問題の影響を受ける可能性があります。 開発者のアプリケーションを使用するシステムにこの更新プログラムを適用すると、問題が修復されます。 さらに、Microsoft は、影響を受ける再頒布可能パッケージの更新バージョンを公開します。 開発者は、これらをアプリケーションの将来の更新プログラムに組み込む必要があります。
Suggested Actions (推奨されるアクション)
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
ほとんどのお客様は自動更新を有効にしており、KB2749655 更新プログラムが自動的にダウンロードされてインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、 Microsoft サポート技術情報の記事 294871を参照してください。
管理者と企業のインストール、または更新プログラムを手動でインストールするエンド ユーザーの場合は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することで、この問題に対処する KB2749655 更新プログラムと再リリースされた更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、「 Microsoft サポート技術情報の記事 2749655」を参照してください。
その他の推奨アクション
PC を保護する
引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する「コンピューターの保護」ガイダンスに従うことをお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。
Microsoft ソフトウェアの更新を維持する
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
フィードバック
- フィードバックを提供するには、Microsoft の [ヘルプとサポート] フォームの [カスタマー サービスにお問い合わせください] を入力します。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、「 Microsoft ヘルプとサポート」を参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、「 国際サポート」を参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
本アドバイザリで提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。
リビジョン
- V1.0 (2012 年 10 月 9 日): アドバイザリが公開されました。
- V1.1 (2012 年 10 月 9 日): このアドバイザリに関連付けられている Windows 8 および Window Server 2012 の更新プログラムが、"Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872) に含まれていることを明確にしました。 これは情報の変更のみです。 詳細については、アドバイザリに関する FAQ を参照してください。
- V1.2 (2012 年 11 月 13 日): 利用可能な再リリースの一覧に、MS12-046 で説明されている KB2687626 更新プログラムを追加しました。
- V2.0 (2012 年 12 月 11 日): MS12-043 で説明されている KB2687627 および KB2687497 更新プログラムを追加しました。 MS12-057 で説明されている KB2687501 および KB2687510 更新プログラム、MS12-059 で説明されている KB2687508 更新プログラム、および MS12-060 で説明されている KB2726929 更新プログラムから、利用可能な再リリースの一覧に記載されています。
2014-04-18T13:49:36Z-07:00 にビルド