セキュリティ情報
Microsoft セキュリティ情報 MS99-015 - 重大
"形式が正しくないヘルプ ファイル" の脆弱性に対して利用可能な修正プログラム
公開日: 1999 年 5 月 17 日 |更新日: 2003 年 3 月 10 日
バージョン: 2.0
更新日: 2003 年 3 月 10 日
投稿日: 1999 年 5 月 17 日
まとめ
Microsoft は、Microsoft® Windows NT® ヘルプ ユーティリティの脆弱性を排除する修正プログラムをリリースしました。 この脆弱性により、Windows NT コンピューター上で任意のコードが実行される可能性があります。
この脆弱性を排除するために完全にサポートされている修正プログラムを利用できます。また、影響を受けるお客様は、必要に応じてダウンロードしてインストールすることをお勧めします。
問題点
Windows ヘルプ ユーティリティは、アプリケーションのヘルプ情報を解析して表示します。 ヘルプ情報は、ヘルプ コンパイラ (AppWizard ユーティリティの一部) によって生成される複数の種類のファイルに含まれており、既定では WINNT\help フォルダーに格納されます。 既定では、ユーザーはこのフォルダーに書き込むことができます。 ヘルプ ユーティリティにはチェックされていないバッファーが存在し、慎重に変更されたヘルプ ファイルを使用して、クラシック バッファー オーバーラン手法を使用してローカル コンピューター上で任意のコードを実行できます。 ヘルプ コンパイラの出力ファイルでは、ここで問題となる特定の形式が生成されないため、この脆弱性が誤って悪用される可能性はありません。
主にこの脆弱性の危険にさらされているマシンは、ワークステーション、ターミナル サーバー、およびユーザーが対話形式でログオンし、ヘルプ ファイルを追加または変更できるその他のマシンです。 通常、サーバーでは、通常のユーザーが対話形式でログオンすることはできません。 この脆弱性はローカル コンピューターにのみ影響を与える可能性があることに注意してください。この脆弱性を介してリモート コンピューターを直接攻撃する機能はありません。
このパッチは、任意のコードがマシン上で実行されないようにしますが、形式が正しくないヘルプ ファイルによってヘルプ ユーティリティが失敗するのを防ぐものではありません。 ただし、ヘルプ ユーティリティの障害によってシステムの安定性やセキュリティが損なわれることはありません。また、ヘルプ ユーティリティはインシデントなしで再起動できます。
この脆弱性の影響を受けているお客様の報告はありませんが、Microsoft は、お客様がそれに対して自分自身を保護するための適切なアクションを実行できるように、この修正プログラムを積極的にリリースしています。
影響を受けるソフトウェアのバージョン
- Microsoft Windows NT 4.0
脆弱性識別子:CVE-1999-0716
Microsoft が行っていること
Microsoft は、特定された問題を解決する修正プログラムをリリースしました。 パッチは、以下の「お客様が行うべきこと」に記載されているサイトからダウンロードできます。
Microsoft は、Microsoft 製品セキュリティ通知サービスをサブスクライブしているお客様にもこのセキュリティ情報を送信しています。 この無料カスタマー サービスの詳細については 、Microsoft 製品セキュリティ通知サービス を参照してください。
Microsoft では、この問題に関する次のサポート技術情報 (KB (キロバイト)) の記事を公開しています。
Microsoft サポート技術情報 (KB (キロバイト)) の記事 231605、形式が正しくないヘルプ ファイルにより、ヘルプ ユーティリティが応答を停止します。https:
(このセキュリティ情報の最初の投稿から、KB (キロバイト)の記事が Web ベースのナレッジ ベースに表示されるまでに 24 時間かかる場合があります)。
お客様が行うべきこと
Microsoft では、この脆弱性がシステムに与えるリスクの程度を評価し、パッチをダウンロードしてインストールするかどうかを判断することを強くお勧めします。 パッチは次の場所にあります。
その他の情報
この問題に関連する詳細については、次のリファレンスを参照してください。
- Microsoft セキュリティ情報 MS99-015, '不正なヘルプ ファイル' の脆弱性 に対して利用可能な修正プログラム (このセキュリティ情報の Web に投稿されたバージョン) https://www.microsoft.com/technet/security/bulletin/ms99-015.mspxです。
- Microsoft サポート技術情報 (KB (キロバイト)) の記事 231605、形式が正しくないヘルプ ファイルが原因でヘルプ ユーティリティが応答を停止する 、</https:>https:
この問題に関するサポートの取得
この問題に関するテクニカル サポートが必要な場合は、Microsoft テクニカル サポートにお問い合わせください。 Microsoft テクニカル サポートへの問い合わせについては、/https:https:>を参照<してください。
受信確認
Microsoft は、 Arca Systems の David Litchfield がこの脆弱性を発見し、Microsoft に報告したと認めます。
リビジョン
- 1999 年 5 月 17 日: セキュリティ情報が作成されました。
- V2.0 (2003 年 3 月 10 日): バージョン管理と更新されたパッチの可用性情報が導入されました
Microsoft 製品に関するその他のセキュリティ関連の情報については、以下を参照してください。 https://www.microsoft.com/technet/security
MICROSOFT KNOWLEDGE BA Standard Edition で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 MICROSOFT は、特定の PURPO に対する商品性と適合性の保証を含め、明示または黙示を問わず、一切の保証を行いませんStandard Edition。 MICROSOFT 法人またはそのサプライヤーは、直接、間接、付随的、Standard Edition 付随的、事業利益の損失、特別損害を含むいかなる損害に対しても一切の責任を負いません。MICROSOFT 企業またはそのサプライヤーが、そのような損害の可能性についてB Enterprise Edition N ADVI Standard Editionした場合でも、一切の責任を負いません。 一部の州では、上記の制限が適用されない可能性があるためStandard Edition付随的損害に対する責任の除外または制限を認めていません。
2014-04-18T13:49:36Z-07:00</https にビルド:>