Microsoft セキュリティ情報 MS14-029 - 重大

[アーティクル]
2024-03-18

インターネットエクスプローラー用セキュリティ更新プログラム (2962482)

公開日: 2014 年 5 月 13 日 |更新日: 2014 年 5 月 27 日

バージョン: 1.2

一般情報

概要

このセキュリティ更新プログラムは、インターネットエクスプローラーで非公開で報告された 2 つの脆弱性を解決します。この脆弱性により、ユーザーがインターネットエクスプローラーを使用して特別に細工された Web ページを表示した場合に、リモートでコードが実行される可能性があります。攻撃者がこれらの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。システムに対するユーザー権限が少ないほどアカウントが構成されているお客様は、管理者権限を使用して操作するユーザーよりも影響を受けにくい可能性があります。

このセキュリティ更新プログラムは、影響を受ける Windows クライアントで、インターネットエクスプローラー 6 (IE 6)、インターネットエクスプローラー 7 (IE 7)、インターネットエクスプローラー 8 (IE 8)、インターネットエクスプローラー 9 (IE 9)、インターネットエクスプローラー 10 (IE 10)、インターネットエクスプローラー 11 (IE 11) と評価されます。インターネット用モデレートエクスプローラー 6 (IE 6)、インターネットエクスプローラー 7 (IE 7)、インターネットエクスプローラー 8 (IE 8)、インターネットエクスプローラー 9 (IE 9)、インターネットエクスプローラー 10 (IE 10)、および影響を受ける Windows サーバー上のインターネットエクスプローラー 11 (IE 11) です。詳細については、「影響を 受けるソフトウェア 」および「影響を受けるソフトウェア」セクションを参照してください。

このセキュリティ更新プログラムは、インターネットエクスプローラーがメモリ内のオブジェクトを処理する方法を変更することで、この脆弱性を解決します。この脆弱性の詳細については、このセキュリティ情報の後半にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。

推奨。 ほとんどのお客様は自動更新を有効にしており、このセキュリティ更新プログラムは自動的にダウンロードおよびインストールされるため、何も行う必要はありません。自動更新の特定の構成オプションについては、マイクロソフトサポート技術情報の記事294871を参照してください。自動更新が有効になっていないお客様の場合は、「自動更新を有効または無効にする」の手順を使用して自動更新を有効にすることができます。

管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンドユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。この更新プログラムは、このセキュリティ情報の後の「影響を受けるソフトウェア」の表のダウンロードリンクからも入手できます。

このセキュリティ情報の後半の「検出と展開のツールとガイダンス」セクションも参照してください。

サポート技術情報の記事

サポート技術情報の記事: 2962482
ファイル情報: はい
SHA1/SHA2 ハッシュ: はい
既知の問題: はい

影響を受けるソフトウェアと影響を受けないもの

次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。その他のバージョンまたはエディションは、サポートライフサイクルを過ぎたか、影響を受けません。ソフトウェアのバージョンまたはエディションのサポートライフサイクルを確認するには、「Microsoft サポートライフサイクル」を参照してください。

影響を受けるソフトウェア

オペレーティングシステム	コンポーネント	セキュリティへの影響の最大値	重大度の評価の集計	更新置換済み
インターネットエクスプローラー 6
Windows Server 2003 Service Pack 2	インターネットエクスプローラー 6 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Server 2003 x64 Edition Service Pack 2	インターネットエクスプローラー 6 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Itanium ベースのシステム用 Windows Server 2003 SP2	インターネットエクスプローラー 6 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Internet Explorer 7
Windows Server 2003 Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Server 2003 x64 Edition Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Itanium ベースのシステム用 Windows Server 2003 SP2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Vista Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Vista x64 Edition Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Server 2008 for 32 ビットシステム Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
x64 ベースシステム Service Pack 2 用 Windows Server 2008	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Server 2008 for Itanium ベースのシステム Service Pack 2	インターネットエクスプローラー 7 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Internet Explorer 8
Windows Server 2003 Service Pack 2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Server 2003 x64 Edition Service Pack 2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Vista Service Pack 2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Vista x64 Edition Service Pack 2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Server 2008 for 32 ビットシステム Service Pack 2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
x64 ベースシステム Service Pack 2 用 Windows Server 2008	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows 7 for 32 ビットシステム Service Pack 1	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows 7 for x64 ベースのシステム Service Pack 1	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1	インターネットエクスプローラー 8 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Internet Explorer 9
Windows Vista Service Pack 2	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Vista x64 Edition Service Pack 2	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Server 2008 for 32 ビットシステム Service Pack 2	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
x64 ベースシステム Service Pack 2 用 Windows Server 2008	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows 7 for 32 ビットシステム Service Pack 1	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows 7 for x64 ベースのシステム Service Pack 1	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2	インターネットエクスプローラー 9 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Internet Explorer 10
Windows 7 for 32 ビットシステム Service Pack 1	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows 7 for x64 ベースのシステム Service Pack 1	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows 8 for 32 ビットシステム	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows 8 for x64 ベースのシステム	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Windows Server 2012	インターネットエクスプローラー 10 (2953522)	リモートコードの実行	中	MS14-021 の 2964358
Windows RT	インターネットエクスプローラー 10^[1] (2953522)	リモートコードの実行	重大	MS14-021 の 2964358
Internet Explorer 11
Windows 7 for 32 ビットシステム Service Pack 1	インターネットエクスプローラー 11^[2] (2953522)	リモートコードの実行	重大	MS14-018 の2936068、MS14-021 での2964358と2964444
Windows 7 for 32 ビットシステム Service Pack 1	インターネットエクスプローラー 11^[3] (2961851)	リモートコードの実行	重大	MS14-018 での2936068と MS14-021 の2964444
Windows 7 for x64 ベースのシステム Service Pack 1	インターネットエクスプローラー 11^[2] (2953522)	リモートコードの実行	重大	MS14-018 の2936068、MS14-021 での2964358と2964444
Windows 7 for x64 ベースのシステム Service Pack 1	インターネットエクスプローラー 11^[3] (2961851)	リモートコードの実行	重大	MS14-018 での2936068と MS14-021 の2964444
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2	インターネットエクスプローラー 11^[2] (2953522)	リモートコードの実行	中	MS14-018 の2936068、MS14-021 での2964358と2964444
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2	インターネットエクスプローラー 11^[3] (2961851)	リモートコードの実行	中	MS14-018 での2936068と MS14-021 の2964444
32 ビットシステム用 Windows 8.1	インターネットエクスプローラー 11^[4] (2953522)	リモートコードの実行	重大	MS14-018 の2936068、MS14-021 での2964358と2964444
32 ビットシステム用 Windows 8.1	インターネットエクスプローラー 11^[5] (2961851)	リモートコードの実行	重大	MS14-018 での2936068と MS14-021 の2964444
x64 ベースシステム用 Windows 8.1	インターネットエクスプローラー 11^[4] (2953522)	リモートコードの実行	重大	MS14-018 の2936068、MS14-021 での2964358と2964444
x64 ベースシステム用 Windows 8.1	インターネットエクスプローラー 11^[5] (2961851)	リモートコードの実行	重大	MS14-018 での2936068と MS14-021 の2964444
Windows Server 2012 R2	インターネットエクスプローラー 11^[4] (2953522)	リモートコードの実行	中	MS14-018 の2936068、MS14-021 での2964358と2964444
Windows Server 2012 R2	インターネットエクスプローラー 11^[5] (2961851)	リモートコードの実行	中	MS14-018 での2936068と MS14-021 の2964444
Windows RT 8.1	インターネットエクスプローラー 11^[1]^[4] (2953522)	リモートコードの実行	重大	MS14-018 の2936068、MS14-021 での2964358と2964444
Windows RT 8.1	インターネットエクスプローラー 11^[1]^[5] (2961851)	リモートコードの実行	重大	MS14-018 での2936068と MS14-021 の2964444

^[1]この更新プログラムは、Windows Update から入手できます。

^[2]この更新プログラムは、2929437更新プログラムがインストールされているシステムを対象としています。詳細については、更新プログラムに 関する FAQ を参照してください。

^[3]この更新プログラムは、2929437更新プログラムがインストールされていないシステム用です。詳細については、更新プログラムに 関する FAQ を参照してください。

^[4]この更新プログラムは、2919355更新プログラムがインストールされているシステムを対象としています。詳細については、更新プログラムに 関する FAQ を参照してください。

^[5]この更新プログラムは、2919355更新プログラムがインストールされていないシステム用です。詳細については、更新プログラムに 関する FAQ を参照してください。

適用できないソフトウェア

オペレーティングシステム	コンポーネント
Server Core のインストール
Windows Server 2008 for 32 ビットシステム Service Pack 2 (Server Core インストール)	適用なし
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール)	適用なし
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール)	適用なし
Windows Server 2012 (Server Core のインストール)	適用なし
Windows Server 2012 R2 (Server Core のインストール)	適用なし

更新に関する FAQ

インターネットエクスプローラー (MS14-029) のこのセキュリティ更新プログラムには、2014 年 5 月 1 日の帯域外インターネットエクスプローラー情報 (MS14-021) の修正プログラムが含まれていますか?
はい。このセキュリティ更新プログラムには、MS14-021 の修正プログラムが含まれています。 MS14-021 帯域外情報に関する脆弱性情報と更新プログラムに関する FAQ については、MS14-021 を参照してください。

インターネットエクスプローラー 11 には、複数の更新プログラムが一覧表示されています。すべての更新プログラムをインストールする必要がありますか?
いいえ。更新プログラムを受信するようにシステムがどのように構成されているかに応じて、インターネットエクスプローラー 11 の更新プログラムの 1 つだけが適用される場合があります。

Windows 7 または Windows Server 2008 R2 でインターネットエクスプローラー 11 を実行しているシステムの場合:

2953522更新プログラムは、2929437更新プログラムがインストールされているシステム用です。
2961851更新プログラムは、2929437更新プログラムがインストールされていないシステム用です。

Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 でインターネットエクスプローラー 11 を実行しているシステムの場合:

2953522更新プログラムは、2919355更新プログラムがインストールされているシステム用です。
2961851更新プログラムは、2919355更新プログラムがインストールされていないシステム用です。

インターネットエクスプローラー 11 の場合、2953522更新プログラムの前提条件はありますか?
はい。 Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 でインターネットエクスプローラー 11 を実行しているお客様は、2953522更新プログラムをインストールする前に、2014 年 4 月にリリースされた2919355更新プログラムをインストールする必要があります。この前提条件の更新プログラムの詳細については、マイクロソフトサポート技術情報の記事の2919355を参照してください。

Windows 7 または Windows Server 2008 R2 でインターネットエクスプローラー 11 を実行しているお客様は、2953522更新プログラムをインストールする前に、2014 年 4 月にリリースされた2929437更新プログラムをインストールする必要があります。この前提条件の更新プログラムの詳細については、マイクロソフトサポート技術情報の記事2929437を参照してください。

この更新プログラム MS14-029 は、インターネットエクスプローラーの累積的なセキュリティ更新プログラムですか?
いいえ。このセキュリティ更新プログラム MS14-029 は、このセキュリティ情報に記載されている脆弱性と、影響を受けるソフトウェアの表の更新 Replaced 列に示されている以前の更新プログラムに含まれる脆弱性にのみ対処します。

インターネットエクスプローラーの最新の累積的なセキュリティ更新プログラムをインストールする必要がありますか?
はい。このセキュリティ更新プログラム MS14-029 は、累積的なセキュリティ更新プログラムではありません。インターネットエクスプローラー用の最新の累積的なセキュリティ更新プログラムをインストールしていないお客様は、MS14-029 更新プログラムをインストールした後、インターネットエクスプローラーなどの互換性の問題が断続的に停止する可能性があります。

インストールの順序は重要であることに注意してください。互換性の問題を回避するには、インターネットエクスプローラー用の最新の累積的なセキュリティ更新プログラムをインストールした後、MS14-029 セキュリティ更新プログラムをインストールする必要があります。

詳細については、以下の表を参照してください。

インターネットエクスプローラーのバージョン	MS14-029 更新プログラムをインストールする前に適用する必要がある最新の累積的な更新プログラム
Microsoft Windows のサポートされているすべてのリリースで、インターネットエクスプローラー 6、インターネットエクスプローラー 7、インターネットエクスプローラー 8、インターネットエクスプローラー 9	MS14-018 での 2936068の更新
Microsoft Windows でサポートされているすべてのリリースのインターネットエクスプローラー 10	MS14-018 の更新プログラム 2936068 (これはインターネットエクスプローラー 10 のセキュリティ以外の更新プログラムであることに注意してください。詳細については、MS14-018 の更新プログラムに関する FAQ を参照してください)。
Windows 7 または Windows Server 2008 R2 のインターネットエクスプローラー 11	ms14-012 の2961851 update:\ Update 2925418 (MS14-018 はインターネットエクスプローラー 11 の累積的な更新プログラムではないことに注意してください)。\ \ 2953522 update:\ Update 2929437
Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 のインターネットエクスプローラー 11	ms14-012 の2961851 update:\ Update 2925418 (MS14-018 はインターネットエクスプローラー 11 の累積的な更新プログラムではないことに注意してください)。\ \ 2953522の更新の場合:\ 更新プログラムの2919355

Server Core のインストールは、このセキュリティ情報で対処されている脆弱性の影響を受けますか?
この更新プログラムで対処される脆弱性は、Server Core インストールオプションを使用してインストールした場合、該当しないソフトウェアの表に示されているように、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 のサポートされているエディションには影響しません。このインストールオプションの詳細については、TechNet の記事、「 Server Core インストールの管理: 概要」、「 Server Core インストールのサービス」、「Server Core と完全なサーバー統合の概要」を参照してください。

この更新プログラムは、報告された複数のセキュリティ脆弱性に対処する理由
この更新プログラムには、これらの問題に対処するために必要な変更が関連ファイルに含まれているため、いくつかの脆弱性のサポートが含まれています。

このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。他のリリースはサポートライフサイクルを過ぎている。製品ライフサイクルの詳細については、Microsoft サポートライフサイクル Web サイトを参照してください。

ソフトウェアの古いリリースをお持ちのお客様は、脆弱性にさらされる可能性を防ぐために、サポートされているリリースに移行することが優先されます。ソフトウェアリリースのサポートライフサイクルを決定するには、「ライフサイクル情報の製品を選択する」を参照してください。これらのソフトウェアリリースのサービスパックの詳細については、「Service Pack ライフサイクルサポートポリシー」を参照してください。

古いソフトウェアのカスタムサポートを必要とするお客様は、カスタムサポートオプションについて、Microsoft アカウントチームの担当者、テクニカルアカウントマネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。連絡先情報については、Microsoft Worldwide Information Web サイトを参照し、[連絡先情報] リストで国を選択し、[移動] をクリックして電話番号の一覧を表示します。お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。詳細については、Microsoft サポートライフサイクルポリシーに関する FAQ を参照してください。

重大度の評価と脆弱性識別子

次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性の可能性については、5 月のセキュリティ情報の概要にある Exploitability Index を参照してください。詳細については、「Microsoft Exploitability Index」を参照してください。

表 1: インターネットエクスプローラー 6

CVE 番号	脆弱性のタイトル	Windows Server 2003 のサポートされているエディションのインターネットエクスプローラー 6
重大度の評価の集計		Moderate
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Moderate\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Moderate\ Remote Code Execution

表 2: インターネットエクスプローラー 7

CVE 番号	脆弱性のタイトル	Windows Server 2003 のサポートされているエディションのインターネットエクスプローラー 7	Windows Vista のサポートされているエディションのインターネットエクスプローラー 7	Windows Server 2008 のサポートされているエディションのインターネットエクスプローラー 7
重大度の評価の集計		Moderate	重大	Moderate
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution

表 3: インターネットエクスプローラー 8

CVE 番号	脆弱性のタイトル	Windows Vista のサポートされているエディションのインターネットエクスプローラー 8	Windows Server 2008 のサポートされているエディションのインターネットエクスプローラー 8	Windows 7 のサポートされているエディションのインターネットエクスプローラー 8	Windows Server 2008 R2 のサポートされているエディションのインターネットエクスプローラー 8
重大度の評価の集計		重大	Moderate	重大	Moderate
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution

表 4: インターネットエクスプローラー 9

CVE 番号	脆弱性のタイトル	Windows Vista のサポートされているエディションのインターネットエクスプローラー 9	Windows Server 2008 のサポートされているエディションのインターネットエクスプローラー 9	Windows 7 のサポートされているエディションのインターネットエクスプローラー 9	Windows Server 2008 R2 のサポートされているエディションのインターネットエクスプローラー 9
重大度の評価の集計		重大	Moderate	重大	Moderate
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution

表 5: インターネットエクスプローラー 10

CVE 番号	脆弱性のタイトル	Windows 7 のサポートされているエディションのインターネットエクスプローラー 10	Windows Server 2008 R2 のサポートされているエディションのインターネットエクスプローラー 10	Windows 8 のサポートされているエディションのインターネットエクスプローラー 10	Windows Server 2012 のサポートされているエディションのインターネットエクスプローラー 10	Windows RT 用インターネットエクスプローラー 10
重大度の評価の集計		重大	Moderate	重大	Moderate	重大
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution

表 6: インターネットエクスプローラー 11

CVE 番号	脆弱性のタイトル	Windows 7 のサポートされているエディションのインターネットエクスプローラー 11	Windows Server 2008 R2 のサポートされているエディションのインターネットエクスプローラー 11	Windows 8.1 のサポートされているエディションのインターネットエクスプローラー 11	Windows Server 2012 R2 のサポートされているエディションのインターネットエクスプローラー 11	Windows RT 8.1 用インターネットエクスプローラー 11
重大度の評価の集計		重大	Moderate	重大	Moderate	重大
CVE-2014-0310	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution
CVE-2014-1815	インターネットエクスプローラーメモリ破損の脆弱性	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution	Moderate\ Remote Code Execution	Critical\ Remote Code Execution

インターネットエクスプローラーの複数のメモリ破損の脆弱性

インターネットエクスプローラーがメモリ内のオブジェクトに不適切にアクセスすると、リモートでコードが実行される脆弱性が存在します。これらの脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できるような方法でメモリが破損する可能性があります。

これらの脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、次の表のリンクをクリックします。

脆弱性のタイトル	CVE 番号
インターネットエクスプローラーメモリ破損の脆弱性	CVE-2014-0310
インターネットエクスプローラーメモリ破損の脆弱性	CVE-2014-1815

軽減要因

軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベストプラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。次の軽減要因は、状況に役立つ場合があります。

Web ベースの攻撃シナリオでは、攻撃者はインターネットエクスプローラーを介してこれらの脆弱性を悪用するように設計された特別に細工された Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導する可能性があります。攻撃者は、侵害された Web サイトや、ユーザーが提供するコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。これらの Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。代わりに、攻撃者はユーザーにアクションを実行するよう誘導する必要があります。通常は、ユーザーに電子メールメッセージまたはインスタントメッセンジャーメッセージ内のリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開く必要があります。
攻撃者がこれらの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。システムに対するユーザー権限が少ないほどアカウントが構成されているお客様は、管理者権限を使用して操作するユーザーよりも影響を受けにくい可能性があります。
既定では、サポートされているすべてのバージョンの Microsoft Outlook、Microsoft Outlook Express、および Windows メールは、制限付きサイトゾーンで HTML メールメッセージを開きます。スクリプトと ActiveX コントロールを無効にする制限付きサイトゾーンは、攻撃者がこれらの脆弱性を使用して悪意のあるコードを実行できるリスクを軽減するのに役立ちます。ユーザーが電子メールメッセージ内のリンクをクリックしても、Web ベースの攻撃シナリオを通じてこれらの脆弱性が悪用される可能性があります。
既定では、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 のインターネットエクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。このモードでは、これらの脆弱性が軽減されます。インターネットエクスプローラーセキュリティ強化の構成の詳細については、これらの脆弱性に関する FAQ セクションを参照してください。

対処方法

回避策とは、基になる脆弱性を修正しないが、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。

アクティブスクリプトを実行する前にプロンプトを表示するか、インターネットとローカルイントラネットのセキュリティゾーンでアクティブスクリプトを無効にするようにインターネットエクスプローラーを構成する

アクティブスクリプトを実行する前にプロンプトを表示するように設定を変更したり、インターネットおよびローカルイントラネットセキュリティゾーンでアクティブスクリプトを無効にしたりすることで、これらの脆弱性の悪用から保護できます。この操作を行うには、次の手順に従います。
1. [インターネットエクスプローラー] の [ツール] メニューの [インターネットオプション] をクリックします。
2. [セキュリティ] タブをクリックします。
3. [インターネット] をクリックし、[カスタムレベル] をクリックします。
4. 設定の [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] または [無効] をクリックし、[OK] をクリックします。
5. [ローカルイントラネット] をクリックし、[カスタムレベル] をクリックします。
6. 設定の [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] または [無効] をクリックし、[OK] をクリックします。
7. [OK] を 2 回クリックして、インターネットエクスプローラーに戻ります。
注: インターネットおよびローカルイントラネットセキュリティゾーンでアクティブスクリプトを無効にすると、一部の Web サイトが正しく動作しない可能性があります。この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。これにより、サイトが正常に動作できるようになります。

回避策の影響。 Active Scripting を実行する前にプロンプトを表示する場合は、副作用があります。インターネットまたはイントラネット上にある多くの Web サイトでは、アクティブスクリプトを使用して追加の機能を提供しています。たとえば、オンライン e コマースサイトや銀行サイトでは、アクティブスクリプトを使用して、メニュー、注文フォーム、または口座明細書を提供できます。 Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネットサイトに影響を与えるグローバル設定です。この回避策を有効にすると、頻繁にメッセージが表示されます。各プロンプトで、アクセスしているサイトが信頼できる場合は、[はい] をクリックしてアクティブスクリプトを実行します。これらのサイトすべてに対してプロンプトを表示しない場合は、「信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加する」で説明されている手順を使用します。

信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加する

インターネットエクスプローラーを設定して、インターネットゾーンとローカルイントラネットゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求した後、信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加できます。これにより、信頼されていないサイトに対するこの攻撃からユーザーを保護しながら、現在とまったく同じように信頼された Web サイトを引き続き使用できるようになります。信頼できるサイトのみを信頼済みサイトゾーンに追加することをお勧めします。

この操作を行うには、次の手順に従います。
1. インターネットエクスプローラーで、[ツール] をクリックし、[インターネットオプション] をクリックし、[セキュリティ] タブをクリックします。
2. [Web コンテンツゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします。
3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします。
5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
6. [OK] を 2 回クリックして変更を受け入れ、インターネットエクスプローラーに戻ります。
注: 信頼できるサイトを追加して、システムに対して悪意のあるアクションを実行しないようにします。具体的には、*.windowsupdate.microsoft.com と *.update.microsoft.com の 2 つを追加できます。これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。
インターネットとローカルイントラネットのセキュリティゾーンの設定を "高" に設定して、これらのゾーンの ActiveX コントロールと Active Scripting をブロックします

インターネットセキュリティゾーンの設定を変更して ActiveX コントロールと Active Scripting をブロックすることで、これらの脆弱性の悪用から保護することができます。これを行うには、ブラウザーのセキュリティを [高] に設定します。

インターネットエクスプローラーで閲覧セキュリティレベルを上げるには、次の手順に従います。
1. [インターネットエクスプローラー ツール] メニューの [インターネットオプション] をクリックします。
2. [インターネットオプション] ダイアログボックスで、[セキュリティ] タブをクリックし、[インターネット] をクリックします。
3. このゾーンの [セキュリティレベル] で、スライダーを [高] に移動します。これにより、アクセスするすべての Web サイトのセキュリティレベルが [高] に設定されます。
4. [ローカルイントラネット] をクリックします。
5. このゾーンの [セキュリティレベル] で、スライダーを [高] に移動します。これにより、アクセスするすべての Web サイトのセキュリティレベルが [高] に設定されます。
6. [OK] をクリックして変更を受け入れ、インターネットエクスプローラーに戻ります。
注: スライダーが表示されない場合は、[既定のレベル] をクリックし、スライダーを [高] に移動します。

注: レベルを High に設定すると、一部の Web サイトが正しく動作しない可能性があります。この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できることを確認している場合は、そのサイトを信頼済みサイトの一覧に追加できます。これにより、セキュリティ設定が [高] に設定されている場合でも、サイトが正しく動作できるようになります。

回避策の影響。 ActiveX コントロールと Active Scripting をブロックするには、副作用があります。インターネットまたはイントラネット上にある多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。たとえば、オンライン e コマースサイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたはアクティブスクリプトのブロックは、すべてのインターネットおよびイントラネットサイトに影響を与えるグローバル設定です。このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加する」で説明されている手順を使用します。

信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加する

インターネットゾーンとローカルイントラネットゾーンで ActiveX コントロールとアクティブスクリプトをブロックするようにインターネットエクスプローラーを設定した後、信頼できるサイトをインターネットエクスプローラー信頼済みサイトゾーンに追加できます。これにより、信頼されていないサイトに対するこの攻撃から身を守りながら、現在とまったく同じように信頼された Web サイトを引き続き使用できるようになります。信頼できるサイトのみを信頼済みサイトゾーンに追加することをお勧めします。

この操作を行うには、次の手順に従います。
1. インターネットエクスプローラーで、[ツール] をクリックし、[インターネットオプション] をクリックし、[セキュリティ] タブをクリックします。
2. [Web コンテンツゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします。
3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします。
5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
6. [OK] を 2 回クリックして変更を受け入れ、インターネットエクスプローラーに戻ります。
注: 信頼できるサイトを追加して、システムに対して悪意のあるアクションを実行しないようにします。具体的には、*.windowsupdate.microsoft.com と *.update.microsoft.com の 2 つを追加できます。これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

よく寄せられる質問

この脆弱性の範囲は何ですか?
これらは、現在のユーザーのコンテキストにおけるリモートコード実行の脆弱性です。

この脆弱性の原因は何ですか?
インターネットエクスプローラーメモリ内のオブジェクトに不適切にアクセスすると、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できるようにメモリが破損する可能性があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこれらの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者権限でログオンしている場合、これらの脆弱性を悪用した攻撃者が影響を受けるシステムを完全に制御する可能性があります。このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
攻撃者は、インターネットエクスプローラーを介してこれらの脆弱性を悪用するように設計された特別に細工された Web サイトをホストし、ユーザーにその Web サイトを表示させる可能性があります。攻撃者は、侵害された Web サイトや、ユーザーが提供するコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。これらの Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。代わりに、攻撃者はユーザーにアクションを実行するよう誘導する必要があります。通常は、ユーザーに電子メールメッセージまたはインスタントメッセンジャーメッセージ内のリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開く必要があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
ワークステーションやターミナルサーバーなど、インターネットエクスプローラーが頻繁に使用されるシステムは、これらの脆弱性の影響を最も受けます。

Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 でインターネットエクスプローラーを実行しています。これにより、これらの脆弱性は軽減されますか?
はい。既定では、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 のインターネットエクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。セキュリティ強化構成は、ユーザーまたは管理者が特別に細工された Web コンテンツをサーバー上にダウンロードして実行する可能性を減らすことができる、インターネットエクスプローラーの構成済み設定のグループです。これは、インターネットエクスプローラー信頼済みサイトゾーンに追加していない Web サイトの軽減要因です。

EMET は、これらの脆弱性を悪用しようとする可能性のある攻撃を軽減するのに役立ちますか?
はい。 Enhanced Mitigation Experience Toolkit (EMET) を使用すると、攻撃者が特定のソフトウェアの脆弱性を悪用するのをより困難にするセキュリティ軽減テクノロジを管理できます。 EMET は、EMET がインストールされ、インターネットエクスプローラーで動作するように構成されているシステム上のインターネットエクスプローラーでこれらの脆弱性を軽減するのに役立ちます。

EMET の詳細については、「拡張軽減エクスペリエンスツールキット」を参照してください。

更新プログラムは何を行いますか?
この更新プログラムは、インターネットエクスプローラーがメモリ内のオブジェクトを処理する方法を変更することで、この脆弱性を解決します。

このセキュリティ情報が発行されたとき、これらの脆弱性は公開されていましたか?
次の表を参照：

CVE 番号	公開
CVE-2014-0310	いいえ
CVE-2014-1815	いいえ

**このセキュリティ情報が発行されたとき、Microsoft はこれらの脆弱性が悪用されているという報告を受け取りましたか?
**次の表を参照してください。

CVE 番号	悪用
CVE-2014-0310	いいえ
CVE-2014-1815	はい。 Microsoft は、インターネットエクスプローラーでこの脆弱性を悪用しようとする限定的な攻撃を認識しています。

検出と展開のツールとガイダンス

管理者がセキュリティ更新プログラムをデプロイするのに役立つリソースがいくつかあります。

Microsoft Baseline Security Analyzer (MB (メガバイト)SA) を使用すると、管理者はローカルシステムとリモートシステムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。
Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager は、管理者がセキュリティ更新プログラムを配布するのに役立ちます。
Application Compatibility Toolkit に含まれる Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows 更新プログラムのテストと検証を合理化する上で役立ちます。

これらのツールと使用可能なその他のツールの詳細については、「IT 担当者向けのセキュリティツール」を参照してください。