セキュリティ情報

Microsoft セキュリティ情報 MS00-059 - 重大

"Java VM アプレット" の脆弱性に対して利用可能な修正プログラム

更新日: 2009 年 7 月 1 日

バージョン: 2.0

投稿日: 2000 年 8 月 21 日

まとめ

Microsoft は、Microsoft 仮想マシン (Microsoft® VM) のセキュリティの脆弱性を排除する修正プログラムをリリースしました。 悪意のある Web サイトオペレーターがユーザーを自分のサイトに訪問させる可能性がある場合、この脆弱性により、ユーザーを偽装し、自分の ID を使用して他のサイトにアクセスし、その情報を自分のサイトに中継する可能性があります。

影響を受けるソフトウェア:
Microsoft VM のバージョンはビルド番号によって識別されます。ビルド番号は、FAQ で説明されているように JVIEW ツールを使用して決定できます。 Microsoft VM の次のビルドが影響を受ける。

  • 3000 シリーズのすべてのビルドには、3315 以前の番号が付けられます。

一般情報

技術詳細

技術的な説明:

Microsoft VM は、Win32® オペレーティング環境用の仮想マシンです。 Microsoft Windows® 95、98、Windows NT®、または Windows 2000 の上で実行されます。 各オペレーティング システムの一部として、また Microsoft インターネット エクスプローラーの一部として出荷されます。 Microsoft Internet エクスプローラー 4.x および Internet エクスプローラー 5.x に付属する Microsoft VM のバージョンには、Java アプレットがサンドボックスによって設定された境界外で動作する可能性があるセキュリティの脆弱性が含まれています。

仕様上、アプレットは、アプレットをホストしている Web サイトとのみ通信できる必要があります。 ただし、この脆弱性により、アプレットがこの制限をバイパスする可能性があります。 ユーザーが悪意のあるユーザーが運営する Web サイトにアクセスした場合、サイトは、別の Web サイトとの接続を確立し、Web セッションから悪意のあるユーザーのサイトに情報を転送できるアプレットを開始する可能性があります。

セッションは、悪意のあるユーザーではなく、訪問しているユーザーを装って確立されます。 したがって、この脆弱性は、ファイアウォールの背後にあるイントラネット サイトにアクセスし、ユーザーを装って情報にアクセスし、悪意のあるユーザーに中継するために使用される可能性があります。 唯一の前提条件は、悪意のあるユーザーがイントラネット サイトの名前を知っているか推測する必要があるということです。 アプレットはユーザーの資格情報を使用してサイトに対する認証を行うことができますが、この脆弱性はユーザーを侵害する方法を提供しません。

よく寄せられる質問

このセキュリティ情報は何ですか?
Microsoft セキュリティ情報 MS00-059 は、Microsoft 仮想マシン (Microsoft® VM) の脆弱性を排除するパッチの可用性を発表します。 この脆弱性により、Web サイトを運用している悪意のあるユーザーが、サイトにアクセスしたユーザーを装って他の Web サイトにアクセスする可能性があります。

この脆弱性の範囲は何ですか?
この脆弱性により、悪意のある Web サイトオペレーターは、別のユーザーを装った他の Web サイト (サイトへのアクセスを誘導したユーザー) を参照できます。 この脆弱性により、悪意のあるユーザーは他のユーザーの ID を使用できますが、パスワードやその他の情報を侵害することはできません。 悪意のあるユーザーは、訪問したい各 Web サイトの正確な名前を知っているか推測する必要があります。これは、ユーザーのイントラネット上のサイトでは困難な場合があります。

「ブラウンオリフィス」という話を聞きました。 この脆弱性はそれに関連していますか? 
いいえ。 "Brown オリフィス" は、複数のベンダーの Java 実装で複数の脆弱性を悪用するプログラムです。 ここでの問題の脆弱性は、「ブラウンオリフィス」によって悪用されたものとは異なりますが、スコープと効果はそのうちの1つに似ています。

すべての Java プログラムがこの脆弱性の影響を受けていますか?
いいえ。 Java プログラムには、実行されているのと同じコンピューターでホストされる Java アプリケーションと、Web サイトでホストされ、サイトにアクセスしたときにユーザーのコンピューター上で実行される Java アプレットの 2 つの一般的なクラスがあります。 この脆弱性の影響を受けるのは Java アプレットのみです。 Java アプレットは信頼されていないコードであるため、Java アプリケーションとは異なる方法で扱われます。 "サンドボックス" を使用して実行できる操作を制限する仮想マシン内で実行されます。 一般に、サンドボックスは、Java アプレットがユーザーのコンピューターで不適切なアクションを実行しないように設計されています。 ここで問題となる脆弱性には、サンドボックスの欠陥が含まれます。

この脆弱性の原因は何ですか?
設計上、署名されていない Java アプレットは、ホストしている Web サイトとのみ通信できる必要があります。 ただし、Microsoft VM の欠陥により、アプレットがこの制限をバイパスし、別の Web サイトと通信できる可能性があります。

アプレットが署名されているかどうかの意味は何ですか?   ユーザーが信頼するユーザーによって署名されたアプレットは、信頼されたコードであるため、他の Web サイトとの通信が許可されます。 ただし、署名されていないアプレットは信頼されていないため、そのようなアクションを実行することはできません。 ここでの全体的な問題は、この脆弱性により、信頼されていないアプレット (つまり、署名されていないアプレット) が信頼できるアプレットのみが実行できるアクションを実行できることです。

署名されていないアプレットが他の Web サイトと通信できるようにすることに関する問題は何ですか?
悪意のある Web サイトオペレーターがユーザーに自分の Web サイトへのアクセスを誘導する可能性がある場合は、アクセスしているユーザーのコンピューター上にアプレットを作成し、この脆弱性を悪用する可能性があります。 これにより、悪意のあるユーザーは、訪問しているユーザーを装った Web サイトにアクセスできます。

だから何なのですか。 悪意のあるユーザーが Web サイトに自分でアクセスできなかったのですか?
場合によっては、この脆弱性が悪意のあるユーザーに利益を与えない場合があります。 たとえば、アプレットが www.microsoft.com にアクセスした場合、Microsoft Web サイトは既にアクセスするすべてのユーザーに公開されているため、このアプレットは彼にとって何の価値も得られません。 ただし、訪問しているユーザーが企業イントラネットにいたとします。 アプレットは、通常は悪意のあるユーザーの手の届かないイントラネット上のサイトにアクセスし、Web セッションを設定し、コンテンツを悪意のあるユーザーのサイトに転送する可能性があります。

アプレットがユーザーとして Web サイトを閲覧できるのはなぜですか? パスワードはどのように学習しますか?
アプレットはユーザーのパスワードを学習できませんが、多くの場合 (特にイントラネットの場合) は必要ありません。 多くのイントラネットは、Web サイトまたはその他のサービスで必要なときに、ユーザーのログオン資格情報をオペレーティング システムによって安全かつ自動的に渡せるように構成されています。 このような場合、アプレットを使用するために資格情報に実際にアクセスできる必要はありません。 イントラネット サイトとの接続を確立するだけで、それ以外はすべて自動的に行われます。 この脆弱性によりアプレットはユーザーの資格情報を使用できますが、ユーザーの資格情報を侵害することはできません。 つまり、アプレットはユーザーのパスワードの読み取りも変更もできませんでした。 また、イントラネット サイトにパスワードを求めるダイアログが表示された場合、アプレットは応答できません。自動認証のみを利用できることに注意してください。

インターネット サイトについて ここにリスクはありますか?
はい。 ユーザーが銀行の Web サイトにアカウントを持っていて、ユーザー ID とパスワードをキャッシュしていた場合、アプレットはそのサイトにアクセスして個人情報にアクセスできます。

会社のイントラネットはファイアウォールによって保護されています。 これにより、アプレットが悪意のあるユーザーの Web サイトに情報を転送できなくなりますか?
いいえ。 この脆弱性の影響を受けるためには、ユーザーが最初に悪意のあるユーザーの Web サイトにアクセスする必要があることに注意してください。 このような場合、Web セッションはファイアウォール内から発信され、その後にリレーされるすべてのデータがそのセッションでピギーバックされます。 これにより、アプレットはファイアウォールを介してデータを渡すことができます。

悪意のあるユーザーがアクセスする Web サイトを知る方法
彼はそうしなかった。 彼は、アプレットが訪問する必要がある各イントラネットまたはインターネット Web サイトの名前を知っているか、推測する必要があります。

アプレットは、Web サイトにアクセスする以外の操作を行うことができますか?
はい。 アプレットは、Web セッション (HTTP または HTTPS) を確立できることに加えて、Telnet または FTP セッションを確立することもできます。 ただし、これらのプロトコルによるリスクは、Web セッションよりもはるかに小さくなります。 アプレットがファイルプロトコルを使用してセッションを確立できなかったのは注目に値します。 つまり、ローカル コンピューターまたはリモートコンピューター上のファイルを表示、追加、変更、または削除する機能はありません。

この脆弱性は誤って悪用される可能性がありますか?
いいえ。 この場合、サンドボックスの制限をバイパスするために必要な一連の手順は、誤って発生する可能性が非常に低くなります。

この脆弱性を持つ Microsoft VM のバージョンがあるかどうかを知操作方法?
最も簡単な方法は、コンピューターにインストールしたソフトウェアをチェックすることです。

  • IE 4.x または IE 5.x を使用している場合、この脆弱性の影響を受ける VM のバージョンは間違いなく存在します。 インストールした他のソフトウェアは関係ありません。IE 4.x または 5.x がインストールされている場合は、影響を受けるバージョンの VM があります。
  • この脆弱性の影響を受ける IE のバージョンを使用していない場合でも、影響を受けるバージョンの Microsoft VM が Visual Studio などの他の製品の一部として付属しているため、引き続き影響を受ける可能性があります。 この場合、最適なコースは、使用している Microsoft VM のバージョンのビルド番号を確認し、影響を受けるバージョンがあるかどうかを確認することです。

Microsoft VM のバージョンのビルド番号を確認操作方法。
コマンド ウィンドウを開きます。

  • Windows NT または Windows 2000 では、[スタート]、[実行] の順に選択し、「CMD」と入力して Enter キーを押します。
  • Windows 95 または 98 では、[スタート]、[実行] の順に選択し、「COMMAND」と入力して Enter キーを押します。
  • コマンド プロンプトで「JVIEW」と入力し、Enter キーを押します。

バージョン情報は、一番上の行の右側にあります。 "5.00.xxxx" のような形式になります。ここで、"xxxx" はビルド番号です。 たとえば、バージョン番号が 5.00.1234 の場合、ビルド番号は 1234 です。

ビルド番号を決定しました。 影響を受けるかどうかを確認操作方法?
次の表を使用して、影響を受けるバージョンがあるかどうかを確認します。

ビルド番号 状態
3315 以前 この脆弱性の影響を受ける
その他のすべてのバージョン この脆弱性の影響を受けなかったり、サポートされている VM バージョンではない

注: 影響を受けるバージョンの Microsoft VM を持つすべてのユーザーは、新しい VM ビルドをインストールする必要があります。

修正プログラムは何を行いますか?
さまざまな VM ビルドの修正により、この脆弱性を防ぐためにサンドボックスの制限が復元されます。

パッチはどこで入手できますか?
新しいバージョンの VM とパッチのダウンロード場所については、セキュリティ情報の「パッチの可用性」セクションを 参照してください

パッチ操作方法使用しますか?
サポート技術情報の記事 Q271752 には、修正プログラムと更新された VM ビルドを適用するための詳細な手順が含まれています。

パッチを正しくインストールしたかどうかを確認するにはどうすればよいですか?
Q271752サポート技術情報の記事では、パッチ パッケージ内のファイルのマニフェストを提供します。 修正プログラムが正しくインストールされていることを確認する最も簡単な方法は、これらのファイルがコンピューターに存在し、KB (キロバイト)の記事に示されているサイズと作成日が同じであることを確認することです。

注: Jview から表示されるバージョン番号に関係なく、上記の記事で説明されているレジストリ キーは、このパッチを適切にインストールするための決定要因である必要があります。

Microsoft はこの問題について何をしていますか?

  • Microsoft は、この脆弱性を排除する修正プログラムを提供しています。
  • Microsoft は、脆弱性とその排除手順について詳しく理解できるように、セキュリティ情報とこの FAQ を提供しています。
  • Microsoft は、Microsoft 製品セキュリティ通知サービス (お客様が Microsoft セキュリティ情報を最新の状態に保つ場合に使用できる無料の電子メール サービス) に、セキュリティ情報のコピーをすべてのサブスクライバーに送信しました。
  • Microsoft は、脆弱性と手順について詳しく説明Q271752サポート技術情報の記事を発行しました。

セキュリティのベスト プラクティスの詳細については、どこで確認できますか? Microsoft TechNet セキュリティ Web サイトは、Microsoft のセキュリティに関する情報を取得するのに最適な場所です。

この問題に関するテクニカル サポートを受ける操作方法は?Microsoft 製品サポート サービスは、この問題またはその他の製品サポートの問題に関するサポートを提供できます。

パッチの可用性

Microsoft Java 仮想マシンはサポートされなくなりました。 詳細については、Microsoft Java 仮想マシンと Microsoft Java 仮想マシンのサポートに関するページを参照してください。

その他の情報:

サポート: これは完全にサポートされているパッチです。 Microsoft 製品サポート サービスへの問い合わせに関する情報は、https:入手できます。

セキュリティ リソース: Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2000 年 8 月 21 日): セキュリティ情報が作成されました。
  • V1.1 (2001 年 1 月 26 日): セキュリティ情報が更新され、VM パッチ バージョンの更新プログラムが反映されました。
  • V1.2 (2002 年 7 月 20 日): ダウンロード場所に対する更新。
  • V1.3 (2003 年 2 月 28 日): ダウンロード場所に対する更新。
  • V2.0 (2009 年 7 月 1 日): Microsoft Java 仮想マシンは Microsoft から配布できなくなったため、ダウンロード情報を削除しました。 詳細については、「パッチの可用性」を参照してください

2014-04-18T13:49:36Z-07:00</https にビルド:>

  • Last updated on