英語で読む

次の方法で共有


セキュリティ情報

Microsoft セキュリティ情報 MS07-010 - 重大

Microsoft マルウェア対策エンジンの脆弱性により、リモートでコードが実行される (932135)

公開日: 2007 年 2 月 13 日 |更新日: 2007 年 2 月 22 日

バージョン: 1.1

まとめ

このドキュメントを読む必要があるユーザー: Microsoft マルウェア対策エンジンを使用しているお客様

脆弱性の影響: リモートでコードが実行される

最大重大度評価: 重大

推奨事項: お客様は、Microsoft マルウェア対策エンジンの最新の更新プログラムを直ちに確実に適用する必要があります

セキュリティ更新プログラムの置換: なし

注意事項: なし

テスト済みソフトウェア:

影響を受けるソフトウェア:

  • Windows Live OneCare
  • Microsoft Antigen for Exchange 9.x
  • MICROSOFT Antigen for SMTP Gateway 9.x
  • Microsoft Windows Defender
  • Microsoft Windows Defender x64 Edition
  • Windows Vista の Microsoft Windows Defender
  • Microsoft Forefront Security for Exchange Server
  • Microsoft Forefront Security for SharePoint

影響を受けるコンポーネント:

  • Microsoft マルウェア対策エンジン

この一覧のソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンでは、セキュリティ更新プログラムのサポートが含まれていないか、影響を受けなくなる可能性があります。 製品とバージョンのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクル Web サイトを参照してください。

一般情報

概要

エグゼクティブサマリー:

この更新プログラムは、Microsoft マルウェア保護エンジンで新しく検出され、非公開で報告された脆弱性を解決します。 この脆弱性は、このセキュリティ情報の「脆弱性の詳細」セクションに記載されています。

攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

お客様は、Microsoft マルウェア対策エンジンの最新の更新プログラムをすぐに使用することをお勧めします。

重大度の評価と脆弱性識別子:

脆弱性識別子 脆弱性の影響 Windows Live OneCare Microsoft Antigen for Exchange 9.x MICROSOFT Antigen for SMTP Gateway 9.x Microsoft Windows Defender Microsoft Windows Defender x64 Windows Vista の Microsoft Windows Defender Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint
Microsoft マルウェア対策エンジンの脆弱性 - CVE-2006-5270 リモート コード実行\ 重要\ 重要\ 重大 重大 重要\ 重大 重大 重大

この 評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。

Microsoft マルウェア対策エンジンを使用する Microsoft 製品は自動的に更新されますか?

次の表に、このセキュリティ更新プログラムの展開方法を示します。

Product 自動更新 エンジンのバージョン番号
Windows Live OneCare はい (Windows Live OneCare AutoUpdate) 1.1.2101.0
Microsoft Antigen for Exchange 9.x はい (Forefront Server セキュリティ更新プログラム サービス) 0.1.8.53
MICROSOFT Antigen for SMTP Gateway 9.x はい (Forefront Server セキュリティ更新プログラム サービス) 0.1.8.53
Microsoft Windows Defender はい (Microsoft Update) 1.1.2101.0
Windows Vista の Microsoft Windows Defender はい (Microsoft Update) 1.1.2101.0
Microsoft Windows Defender x64 Edition はい (Microsoft Update) 1.1.2101.0
Microsoft Forefront Security for Exchange Server はい (Forefront Server セキュリティ更新プログラム サービス) 0.1.8.53
Microsoft Forefront Security for SharePoint はい (Forefront Server セキュリティ更新プログラム サービス) 0.1.8.53

注: エンジンのバージョンが上記のエンジン バージョン番号以上の場合、この脆弱性の影響を受けず、それ以上の操作を行う必要はありません。

注: Microsoft ウイルス対策クライアント ソフトウェアの AutoUpdate または Microsoft Update を無効にしたユーザーは、更新された Microsoft マルウェア対策エンジンを受け取るために、AutoUpdate を再度有効にするか、Microsoft ウイルス対策クライアント ソフトウェアを手動で更新する必要があります。 Microsoft ウイルス対策クライアント ソフトウェアを手動で更新するには、影響を受けるソフトウェアに付属の製品ドキュメントに従う必要があります。

注: Microsoft Antigen と Microsoft Forefront の場合、Microsoft エンジンは自動的に更新されます。 既定のインストールから変更されたシステムの場合、手動エンジンの更新は管理者ツールを使用して実行できます。 エンジンが無効になっている場合は、再度有効にしてから、[今すぐ更新] をクリックしてすぐに更新できます。 Microsoft Antigen Enterprise Manager を使用してエンジンを更新する場合、ユーザーは [エンジン更新再配布ジョブ] を選択し、[今すぐ実行] をクリックする必要があります。

注: Windows Defender のマルウェア対策エンジンの更新プログラムは、通常の Windows Defender 署名更新プロセスの一部として配布されます。 Windows Server Update Services (WSUS) を使用して Windows Defender 定義の更新プログラムを展開する方法の詳細については、マイクロソフト サポート技術情報の記事919772を参照してください

脆弱性の詳細

Microsoft マルウェア対策エンジンの脆弱性 - CVE-2006-5270:

ポータブル ドキュメント形式 (PDF) ファイルを解析する方法が原因で、Microsoft マルウェア防止エンジンにリモートでコードが実行される脆弱性が存在します。 攻撃者は、対象のコンピューター システムが受信したときにリモートでコードが実行される可能性がある特別に細工された PDF ファイルを作成し、Microsoft Malware Protection Engine が PDF ファイルをスキャンすることにより、この脆弱性を悪用する可能性があります。

「Microsoft マルウェア対策エンジンの脆弱性」の問題を緩和する要素 - CVE-2006-5270:

この脆弱性の軽減要因は特定されていません。

「Microsoft マルウェア対策エンジンの脆弱性」の回避策 - CVE-2006-5270:

  • Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint、および Microsoft Antigen は、1 つのシステム上の Microsoft マルウェア保護エンジンに加えて、複数のエンジンをサポートしています。 影響を受けるシステムで複数のエンジンを使用できる場合、管理者は、Microsoft マルウェア保護エンジンを更新できるようになるまで、回避策として Microsoft マルウェア保護エンジンを無効にすることができます。 Microsoft マルウェア対策エンジンを無効にする前に、管理者は、サード パーティ製エンジンの最新のウイルス署名がインストールされていることを確認する必要があります。
  • Windows Live OneCare と Microsoft Windows Defender の回避策は特定されていません。

「Microsoft マルウェア対策エンジンの脆弱性」のよく寄せられる質問 - CVE-2006-5270:

この脆弱性の範囲は何ですか?
ポータブル ドキュメント形式 (PDF) ファイルを解析する方法が原因で、Microsoft マルウェア防止エンジンにリモートでコードが実行される脆弱性が存在します。 攻撃者は、ターゲット コンピューター システムが受信したときにリモートでコードが実行される可能性がある特別に細工された PDF ファイルを作成し、Microsoft マルウェア対策エンジンが PDF ファイルをスキャンすることにより、この脆弱性を悪用する可能性があります。

この脆弱性の原因は何ですか?
特別に細工された PDF ファイルを処理するときに、Microsoft マルウェア対策エンジンで整数オーバーフローが発生します。

Microsoft マルウェア対策エンジンとは
Microsoft Malware Protection Engine mpengine.dllは、Windows Live OneCare、Microsoft Forefront Security、Microsoft Antigen、Windows Defender のウイルス対策およびスパイウェア対策クライアントのスキャン、検出、およびクリーン機能を提供します。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用すると、リモートでコードが実行され、影響を受けるシステムが完全に制御される可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?
影響を受けるシステムに特別に細工された PDF を配信できる匿名ユーザーは、この脆弱性を悪用しようとする可能性があります。

攻撃者がこの脆弱性を悪用する方法
攻撃者は、特別に細工された PDF 添付ファイルを作成し、影響を受けるシステムに PDF の処理を強制することで、この脆弱性を悪用しようとする可能性があります。 ターゲット コンピューター上の Microsoft マルウェア対策エンジンが PDF を自動的にスキャンすると、PDF によって影響を受けるシステムで任意のコードが実行される可能性があります。

最後に、攻撃者は特別に細工された PDF を Web サイトで利用できるようにすることもできます。 攻撃者は、ユーザーに特定の Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は Web サイトにアクセスするように誘導する必要があります。通常は、攻撃者のサイトに移動するリンクをクリックしてもらう必要があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
Microsoft マルウェア対策エンジンを使用し、PDF ファイル処理を許可するようにフィルターが構成されている Microsoft ウイルス対策クライアントは危険にさらされます。

更新プログラムは何を行いますか?
この更新プログラムは、割り当てられたバッファーにデータを渡す前に、Microsoft マルウェア対策エンジンが PDF 内のデータの長さを検証する方法を変更することで、整数オーバーフローの脆弱性を排除します。

このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
いいえ。 Microsoft は、責任ある開示を通じてこの脆弱性に関する情報を受け取りました。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が公開されたことを示す情報を受け取っていませんでした。 このセキュリティ情報は、脆弱性と、内部調査によって検出されたその他の問題に対処します。

このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 Microsoft は、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取らず、このセキュリティ情報が最初に発行されたときに公開された概念実証コードの例を見ていませんでした。

セキュリティ更新プログラムの情報

影響を受けるソフトウェア:

影響を受けるソフトウェアの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。

Windows Live OneCare

前提条件
このセキュリティ更新プログラムには、Windows Live OneCare が必要です。

再起動の要件

この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。

コンピューターの再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。

削除情報

Windows XP で Windows Live OneCare を使用している場合、この更新プログラムをアンインストールすることはできません。

この更新プログラムは、Windows Vista で Windows Live OneCare を使用する場合にアンインストールできます。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. [ヘルプ] をクリックし、[Windows Live OneCare について] をクリックします
  2. バージョン番号を確認します。 ウイルスおよびスパイウェア定義のバージョンが 1.1.2101.0 以降の場合、更新プログラムは正常にインストールされています。

Microsoft Antigen for Exchange 9.x

前提条件
このセキュリティ更新プログラムには、Microsoft Antigen for Exchange 9.x が必要です。

再起動の要件

この更新プログラムは自動で、再起動は必要ありません。

Forefront Server セキュリティ更新プログラム サービスは、Microsoft Antigen for Exchange Server の Microsoft ウイルス対策エンジンを自動的に更新します。 ただし、ユーザーが Microsoft ウイルス対策エンジンを無効にした Microsoft Antigen を実行しているコンピューター システムでは、ユーザーは管理者ツールを使用してエンジンを再度有効にする必要があります。 再度有効にすると、[今すぐ更新] をクリックしてエンジンを更新する必要があります。

削除情報

この更新プログラムはアンインストールできません。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. [抗原管理リストレーター] で、[スキャナー 更新] をクリックし、[Microsoft ウイルス対策] をクリックします
  2. バージョン番号を確認します。 Microsoft ウイルス対策エンジンのビルド番号が 0.1.8.53 以上の場合、更新プログラムは正常にインストールされています。

Microsoft 抗原エンジンの構成手順については、次 の Microsoft Web サイトを参照してください。

MICROSOFT Antigen for SMTP Gateway 9.x

前提条件
このセキュリティ更新プログラムには、SMTP Gateway 9.x 用の Microsoft Antigen が必要です。

再起動の要件

この更新プログラムは自動で、再起動は必要ありません。

Forefront Server セキュリティ更新プログラム サービスは、MICROSOFT Antigen for SMTP Gateway の Microsoft ウイルス対策エンジンを自動的に更新します。 ただし、ユーザーが Microsoft ウイルス対策エンジンを無効にした Microsoft Antigen を実行しているコンピューター システムでは、ユーザーは管理者ツールを使用してエンジンを再度有効にする必要があります。 再度有効にすると、[今すぐ更新] をクリックしてエンジンを更新する必要があります。

削除情報

この更新プログラムはアンインストールできません。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. [抗原管理リストレーター] で、[スキャナー 更新] をクリックし、[Microsoft ウイルス対策] をクリックします
  2. バージョン番号を確認します。 Microsoft ウイルス対策エンジンのビルド番号が 0.1.8.53 以上の場合、更新プログラムは正常にインストールされています。

Microsoft 抗原エンジンの構成手順については、次 の Microsoft Web サイトを参照してください。

Windows Vista の Microsoft Windows Defender と Windows Defender

前提条件
このセキュリティ更新プログラムには Windows Defender が必要です。

再起動の要件

この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。

コンピューターの再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。

削除情報

この更新プログラムは、Windows XP または Windows Server 2003 からアンインストールすることはできません。

この更新プログラムは、Windows Vista からアンインストールできます。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. [ヘルプ] をクリックし、[Windows Defender について] をクリックします
  2. バージョン番号を確認します。 Microsoft ウイルス対策エンジンのビルド番号が 1.1.2101.0 以上の場合、更新プログラムは正常にインストールされています。

Microsoft Forefront Security for Exchange Server

前提条件
このセキュリティ更新プログラムには、Forefront Security for Exchange Server が必要です。

再起動の要件

この更新プログラムは自動で再起動する必要はありません。

Forefront Server セキュリティ更新サービスは、Forefront Security for Exchange Server の Microsoft マルウェア対策エンジンを自動的に更新します。 ただし、ユーザーが Microsoft マルウェア対策エンジンを無効にしている Forefront Security for Exchange Server を実行しているコンピューター システムでは、ユーザーは管理者ツールを使用してエンジンを再度有効にする必要があります。 再度有効にすると、[今すぐ更新] をクリックしてエンジンを更新する必要があります。

削除情報

この更新プログラムはアンインストールできません。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. Forefront 管理istrator で、[スキャナー 更新] をクリックし、[マルウェア対策エンジン] をクリックします
  2. バージョン番号を確認します。 Microsoft マルウェア対策エンジン ビルド番号が 0.1.8.53 以上の場合、更新プログラムは正常にインストールされています。

Forefront Server Security for Exchange Server エンジンの構成手順については、次 の Microsoft Web サイトを参照してください。

Microsoft Forefront Security for SharePoint

前提条件
このセキュリティ更新プログラムには、Forefront Security for SharePoint が必要です。

再起動の要件

この更新プログラムは自動で、再起動は必要ありません。

Forefront Server セキュリティ更新サービスは、Forefront Security for SharePoint の Microsoft マルウェア対策エンジンを自動的に更新します。 ただし、ユーザーが Microsoft マルウェア対策エンジンを無効にしている Forefront Security for SharePoint を実行しているコンピューター システムでは、ユーザーは管理者ツールを使用してエンジンを再度有効にする必要があります。 再度有効にすると、[今すぐ更新] をクリックしてエンジンを更新する必要があります。

削除情報

この更新プログラムはアンインストールできません。

更新プログラムのインストールの確認

影響を受けるシステムに更新プログラムが適用されたことを確認するには、次の手順を実行します。

  1. Forefront 管理istrator で、[スキャナー 更新] をクリックし、[Microsoft マルウェア対策エンジン] をクリックします
  2. バージョン番号を確認します。 Microsoft マルウェア対策エンジン ビルド番号が 0.1.8.53 以上の場合、更新プログラムは正常にインストールされています。

Forefront Server Security for SharePoint エンジンの構成手順については、次 の Microsoft Web サイトを参照してください。

その他の情報

受信確認

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

その他のセキュリティ 更新の取得:

その他のセキュリティの問題の更新は、次の場所で入手できます。

  • セキュリティ更新プログラムは、Microsoft ダウンロード センター入手できます。 "security_patch" のキーワード (keyword)検索を実行すると、最も簡単に見つけることができます。
  • コンシューマー プラットフォームの更新は、Microsoft Update Web サイト

サポート:

  • 米国およびカナダのお客様は、Microsoft 製品サポート サービス (1-866-PCSAFETY) からテクニカル サポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポートに対する料金はかかりません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイト参照してください。

セキュリティ リソース:

ソフトウェア更新サービス:

Microsoft Software Update Services (SUS) を使用すると、管理者は、Windows 2000 および Windows Server 2003 ベースのサーバー、および Windows 2000 Professional または Windows XP Professional を実行しているデスクトップ システムに、最新の重要な更新プログラムとセキュリティ更新プログラムを迅速かつ確実に展開できます。

ソフトウェア更新サービスを使用してセキュリティ更新プログラムを展開する方法の詳細については、ソフトウェア更新サービスの Web サイト参照してください。

Windows Server Update Services:

Windows Server Update Services (WSUS) を使用すると、管理者は Windows 2000 オペレーティング システム以降、Office XP 以降、Exchange Server 2003、SQL Server 2000 の最新の重要な更新プログラムとセキュリティ更新プログラムを Windows 2000 以降のオペレーティング システムに迅速かつ確実に展開できます。

Windows Server Update Services を使用してセキュリティ更新プログラムを展開する方法の詳細については、Windows Server Update Services Web サイト参照してください。

システム管理サーバー:

Microsoft Systems Management Server (SMS) は、更新プログラムを管理するための高度に構成可能なエンタープライズ ソリューションを提供します。 管理者は、SMS を使用して、セキュリティ更新プログラムを必要とする Windows ベースのシステムを特定し、エンド ユーザーへの中断を最小限に抑えながら、これらの更新プログラムの展開を企業全体で制御できます。 管理者が SMS 2003 を使用してセキュリティ更新プログラムを展開する方法の詳細については、SMS 2003 Security Patch Management Web サイトを参照してください。 SMS 2.0 ユーザーは、ソフトウェア 更新 Service Feature Pack を使用して、セキュリティ更新プログラムを展開することもできます。 SMS の詳細については、SMS Web サイト参照してください。

: SMS では、Microsoft Baseline Security Analyzer、Microsoft Office 検出ツール、Enterprise Update Scan ツールを使用して、セキュリティ情報の更新プログラムの検出と展開を幅広くサポートします。 これらのツールでは、一部のソフトウェア更新プログラムが検出されない場合があります。 管理リストレーターは、このような場合に SMS のインベントリ機能を使用して、特定のシステムの更新プログラムを対象にすることができます。 この手順の詳細については、次 の Web サイトを参照してください。 一部のセキュリティ更新プログラムでは、システムの再起動後に管理者権限が必要です。 管理istrator は、管理者特権展開ツール (SMS 2003 管理istration Feature Pack および SMS 2.0 管理istration Feature Pack で利用可能) を使用して、これらの更新プログラムをインストールできます。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2007 年 2 月 13 日): セキュリティ情報が公開されました。
  • V1.1 (2007 年 2 月 22 日): このセキュリティ情報が更新されました。WSUS Windows Defender 更新プロセスの "Executive Summary" の「このセキュリティ更新プログラムに関連するよく寄せられる質問 (FAQ)」セクション。

ビルド日: 2014-04-18T13:49:36Z-07:00