Microsoft セキュリティ情報 MS16-010 - 重要
スプーフィングに対処するための Microsoft Exchange Server のセキュリティ更新プログラム (3124557)
公開日: 2016 年 1 月 12 日
バージョン: 1.0
概要
このセキュリティ更新プログラムは、Microsoft Exchange Server の脆弱性を解決します。 最も深刻な脆弱性により、Outlook Web Access (OWA) が Web 要求を適切に処理できない場合にスプーフィングが発生し、ユーザー入力と電子メール コンテンツがサニタイズされる可能性があります。
このセキュリティ更新プログラムは、Microsoft Exchange Server 2013 および Microsoft Exchange Server 2016 でサポートされているすべてのエディションで重要と評価されます。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。
このセキュリティ更新プログラムは、Microsoft Exchange OWA が Web 要求を検証する方法を修正し、OWA がユーザー入力と電子メール コンテンツを適切にサニタイズできるようにすることで、この脆弱性を解決します。 脆弱性の詳細については、「脆弱性情報」セクションを参照してください。
この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3124557を参照してください。
影響を受けるソフトウェア
次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。
ソフトウェア | セキュリティへの影響の最大値 | 重大度の評価の集計 | 更新置換済み* |
---|---|---|---|
Microsoft Server Software | |||
Microsoft Exchange Server 2013 Service Pack 1 (3124557) | なりすまし | 重要 | MS15-103 の 3087126 |
Microsoft Exchange Server 2013 累積的な更新プログラム 10 (3124557) | なりすまし | 重要 | なし |
Microsoft Exchange Server 2013 累積的な更新プログラム 11 (3124557) | なりすまし | 重要 | なし |
Microsoft Exchange Server 2016 (3124557) | なりすまし | 重要 | なし |
*更新置き換えられた列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、Microsoft Update カタログに移動し、更新プログラムのKB (キロバイト)番号を検索して、更新プログラムの詳細を表示します (更新プログラムの置き換えられた情報は [パッケージの詳細] タブで提供されます)。
重大度の評価と脆弱性識別子
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性に関する情報については、1 月のセキュリティ情報の概要にある Exploitability Index を参照してください。
脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響 | |||||
---|---|---|---|---|---|
影響を受けるソフトウェア | Exchange のスプーフィングの脆弱性 - CVE-2016-0029 | Exchange のスプーフィングの脆弱性 - CVE-2016-0030 | Exchange のスプーフィングの脆弱性 - CVE-2016-0031 | Exchange のスプーフィングの脆弱性 - CVE-2016-0032 | 重大度の評価の集計 |
Microsoft Server Software | |||||
Microsoft Exchange Server 2013 Service Pack 1 (3124557) | 適用なし | 重要な スプーフィング | 適用なし | 重要な スプーフィング | 重要 |
Microsoft Exchange Server 2013 累積的な更新プログラム 10 (3124557) | 適用なし | 重要な スプーフィング | 適用なし | 重要な スプーフィング | 重要 |
Microsoft Exchange Server 2013 累積的な更新プログラム 11 (3124557) | 適用なし | 適用なし | 適用なし | 重要な スプーフィング | 重要 |
Microsoft Exchange Server 2016 (3124557) | 重要な スプーフィング | 重要な スプーフィング | 重要な スプーフィング | 重要な スプーフィング | 重要 |
脆弱性情報
複数の Exchange スプーフィングの脆弱性
Outlook Web Access (OWA) が Web 要求を適切に処理できない場合、Microsoft Exchange Server に複数のスプーフィングの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、スクリプトまたはコンテンツインジェクション攻撃を実行し、ユーザーをだまして機密情報を開示しようとする可能性があります。 攻撃者は、ユーザーを悪意のある Web サイトにリダイレクトし、コンテンツをスプーフィングしたり、Web サービスの他の脆弱性と攻撃を連鎖させるピボットとして使用されたりする可能性もあります。
この脆弱性を悪用するために、攻撃者はユーザーへの悪意のあるリンクを含む特別に細工された電子メールを送信する可能性があります。 攻撃者はチャット クライアントを使用して、悪意のあるリンクをクリックするようにユーザーをソーシャル エンジニアリングすることもできます。 ただし、どちらの例でも、ユーザーは悪意のあるリンクをクリックする必要があります。 このセキュリティ更新プログラムは、OWA が Web 要求を検証する方法を修正することで、この脆弱性を解決します。
次の表に、一般的な脆弱性と公開の一覧の各脆弱性の標準エントリへのリンクを示します。
脆弱性のタイトル | CVE 番号 | 公開 | 悪用 |
---|---|---|---|
Exchange スプーフィングの脆弱性 | CVE-2016-0029 | いいえ | いいえ |
Exchange スプーフィングの脆弱性 | CVE-2016-0030 | いいえ | いいえ |
Exchange スプーフィングの脆弱性 | CVE-2016-0031 | いいえ | いいえ |
Exchange スプーフィングの脆弱性 | CVE-2016-0032 | いいえ | いいえ |
軽減要因
次 の軽減要因 は、状況に役立つ場合があります。
- 悪意のあるリンクを生成するには、攻撃者が既に認証済みの Microsoft Exchange ユーザーであり、電子メール メッセージを送信できる必要があります。
- 悪意のあるリンクが電子メールで送信される可能性がありますが、攻撃者は、この脆弱性を悪用するためにユーザーにリンクを開くよう誘導する必要があります。
対処方法
Microsoft は、この脆弱性の 回避策を 特定していません。
セキュリティ更新プログラムの展開
セキュリティ更新プログラムの展開に関する情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。
謝辞
Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2015 年 1 月 12 日): セキュリティ情報が公開されました。
Page generated 2016-03-22 12:35-07:00.