Microsoft セキュリティ情報 MS16-036 - 重大

  • [アーティクル]

Adobe Flash Player のセキュリティ更新プログラム (3144756)

公開日: 2016 年 3 月 10 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、サポートされているすべてのエディションのWindows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10にインストールされている Adobe Flash Player の脆弱性を解決します。

このセキュリティ更新プログラムは重大と評価されています。 この更新プログラムは、インターネット エクスプローラー 10、インターネット エクスプローラー 11、および Microsoft Edge に含まれる影響を受ける Adobe Flash ライブラリを更新することで、Adobe Flash Player の脆弱性を解決します。 詳細については、「 影響を受けるソフトウェア 」セクションを参照してください。

この更新プログラムの詳細については、「 Microsoft サポート技術情報の記事 3144756」を参照してください。

脆弱性情報

このセキュリティ更新プログラムは、Adobe Security Bulletin APSB16-08 で説明されている次の脆弱性に対処します。

CVE-2015-8652、CVE-2015-8655、CVE-2015-8658、 CVE-2016-0960、CVE-2016-0961、CVE-2016-0962、CVE-2016-0963、CVE-2016-0986、CVE-2016-0987、CVE-2016-0988、 CVE-2016-0989、CVE-2016-0990、CVE-2016-0991、CVE-2016-0993、CVE-2016-0994、 CVE-2016-0995、CVE-2016-0996、CVE-2016-1001、CVE-2016-1005、CVE-2016-1010

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフ サイクルを過ぎているか、影響を受けられません。 ソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

オペレーティング システム コンポーネント 集約の重大度と影響 更新置換済み*
Windows 8.1
32 ビット システムのWindows 8.1 Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
x64 ベースのシステムのWindows 8.1 Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3144756) 中程 度 リモート コード実行 MS16-022 の3135782
Windows Server 2012 R2 Adobe Flash Player (3144756) 中程 度 リモート コード実行 MS16-022 の3135782
Windows RT 8.1
Windows RT 8.1[1] Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
Windows 10
32 ビット システムのWindows 10[2] Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
x64 ベースのシステムのWindows 10[2] Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
Windows 10 バージョン 1511 for 32 ビット システム [2] Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782
Windows 10 バージョン 1511 for x64 ベースのシステム[2] Adobe Flash Player (3144756) 重要 リモート コード実行 MS16-022 の3135782

[1]この更新プログラムは、Windows Update経由で入手できます。

[2]Windows 10更新プログラムの Adobe FlashPlayer 更新プログラムは、Windows Updateまたは Microsoft Update Catalog から入手できます。

Windows Server Technical Preview 4 が影響を受けます。集計の重大度評価は [重大] で、影響は [中]、[リモート コード実行] です。 このオペレーティング システムを実行しているお客様は、Windows Update経由で利用可能な更新プログラムを適用することをお勧めします。

*[置換更新] 列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、 Microsoft Update Catalog に移動し、更新プログラムの KB 番号を検索して、更新プログラムの詳細を表示します (置き換えられた更新プログラムの情報は、[パッケージの詳細] タブで提供されます)。

よく寄せられる質問

攻撃者はどのようにしてこれらの脆弱性を悪用する可能性がありますか?
ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者はインターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。 攻撃者は、IE レンダリング エンジンをホストするアプリケーションまたは Microsoft Office ドキュメントに、"初期化しても安全" とマークされた ActiveX コントロールを埋め込む可能性もあります。 攻撃者は、ユーザーが提供するコンテンツや広告を受け入れるかホストする、侵害された Web サイトや Web サイトを利用する可能性もあります。 これらの Web サイトには、これらの脆弱性のいずれかを悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開いて、ユーザーにアクションを実行させる必要があります。

ユーザーが Windows 8 スタイルの UI でインターネット エクスプローラーを使用している Web ベースの攻撃シナリオでは、攻撃者はまず、互換性ビュー (CV) リストに既にリストされている Web サイトを侵害する必要があります。 その後、攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開いて、ユーザーにアクションを実行させる必要があります。 インターネット エクスプローラーと CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player のコンテンツを含む Web サイトの開発者向けガイダンス」を参照してください。

軽減要因

軽減策とは、既定の状態に存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 状況によっては、次の軽減要因が役立つ場合があります。

  • ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトと、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性のいずれかを悪用する可能性がある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 その代わりに、攻撃者は通常、ユーザーに電子メール メッセージまたはインスタント メッセンジャー メッセージのリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導する必要があります。
  • Windows 8 スタイルの UI のインターネット エクスプローラーは、互換性ビュー (CV) リストにリストされているサイトからのみ Flash コンテンツを再生します。 この制限により、攻撃者はまず CV リストに既にリストされている Web サイトを侵害する必要があります。 その後、攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツをホストし、ユーザーに Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックしてユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開いて、ユーザーにアクションを実行させる必要があります。
  • 既定では、サポートされているすべてのバージョンの Microsoft Outlook と Windows Live Mail は、制限付きサイト ゾーンで HTML メール メッセージを開きます。 スクリプトと ActiveX コントロールを無効にする制限付きサイト ゾーンは、攻撃者がこれらの脆弱性のいずれかを使用して悪意のあるコードを実行できるリスクを軽減するのに役立ちます。 ユーザーが電子メール メッセージ内のリンクをクリックした場合でも、Web ベースの攻撃シナリオを通じてこれらの脆弱性が悪用される可能性があります。
  • 既定では、Windows Server 2012 および Windows Server 2012 R2 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 このモードは、インターネット エクスプローラーの Adobe Flash Player のこれらの脆弱性による悪用の可能性を減らすのに役立ちます。

対処方法

回避策とは、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。

  • Adobe Flash Player の実行を禁止する
    レジストリでコントロールの強制終了ビットを設定することで、インターネット エクスプローラーおよびその他のアプリケーション (Office 2007 や Office 2010 など) を優先する Adobe Flash Player のインスタンス化の試行を無効にすることができます。

    警告 レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディタの誤使用によって生じた問題をユーザー自身が解決できるとは保証できません。 問題が発生する可能性のあることを十分に認識したうえで利用してください。

    レジストリでコントロールの強制終了ビットを設定するには、次の手順を実行します。

    1. 以下をテキスト ファイルに貼り付け、.reg ファイル拡張子で保存します。

      	Windows Registry Editor Version 5.00  
	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

	[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

    2. .reg ファイルをダブルクリックして、個々のシステムに適用します。 グループ ポリシーを使用して、ドメイン間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事「グループ ポリシー コレクション」を参照してください。

    メモ変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

    回避策の影響。 オブジェクトがインターネット エクスプローラーで使用されることを意図していない限り、影響はありません。

    回避策を元に戻す方法。 この回避策の実装で追加されたレジストリ キーを削除します。

  • Adobe Flash Player が グループ ポリシー を介してインターネット エクスプローラーで実行されないようにする
    メモグループ ポリシー MMC スナップインは、コンピューター、組織単位、またはドメイン全体のポリシーを設定するために使用できます。 グループ ポリシーの詳細については、次の Microsoft Web サイトを参照してください。

    グループ ポリシーの概要

    グループ ポリシー オブジェクト エディターとは

    コア グループ ポリシー ツールと設定

    グループ ポリシーを介してインターネット エクスプローラーで Adobe Flash Player を無効にするには、次の手順に従います。

    メモ この回避策では、Microsoft Office 2007 や Microsoft Office 2010 などの他のアプリケーションから Flash が呼び出されるのを防ぐことはありません。

    1. グループ ポリシー管理コンソールを開き、ローカル コンピューター、OU、ドメイン GPO などの適切なグループ ポリシー オブジェクトを操作するようにコンソールを構成します。
    2. [管理用テンプレート] - [Windows コンポーネント] - [インターネット エクスプローラー] - [セキュリティ機能] - [アドオン管理] の順に移動します。
    3. [インターネット エクスプローラーで Adobe Flash を無効にする] をダブルクリックし、アプリケーションがインターネット エクスプローラー テクノロジを使用して Flash オブジェクトをインスタンス化できないようにします
    4. 設定を [有効] に変更します。
    5. [適用] をクリックし、[OK] をクリックしてグループ ポリシー管理コンソールに戻ります。
    6. すべてのシステムでグループ ポリシーを更新するか、次にスケジュールされたグループ ポリシー更新間隔が設定が有効になるまで待ちます。

  • 影響を受けるシステムで Adobe Flash Player が Office 2010 で実行されないようにする
    メモこの回避策により、Adobe Flash Player がインターネット エクスプローラーで実行されるのを防ぐことはありません。

    警告 レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディタの誤使用によって生じた問題をユーザー自身が解決できるとは保証できません。 問題が発生する可能性のあることを十分に認識したうえで利用してください。

    インターネット エクスプローラーでコントロールが実行されないようにするために使用できる詳細な手順については、Microsoft サポート技術情報の記事 240797を参照してください。 記事の手順に従ってレジストリに互換性フラグ値を作成し、COM オブジェクトがインターネット エクスプローラーでインスタンス化されないようにします。

    Office 2010 でのみ Adobe Flash Player を無効にするには、次の手順を使用して、レジストリで Adobe Flash Player の ActiveX コントロールのキル ビットを設定します。

    1. 次の内容を含む Disable_Flash.reg という名前のテキスト ファイルを作成します。

      	Windows Registry Editor Version 5.00

	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

    2. .reg ファイルをダブルクリックして、個々のシステムに適用します。

    3. メモ変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

      グループ ポリシーを使用して、ドメイン間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事「グループ ポリシー コレクション」を参照してください。

 

  • Office 2007 および Office 2010 で ActiveX コントロールが実行されないようにする
    インターネット エクスプローラーの Adobe Flash Player を含む、Microsoft Office 2007 および Microsoft Office 2010 のすべての ActiveX コントロールを無効にするには、次の手順を実行します。

    1. [ ファイル]、[ オプション] の順にクリックし、[ セキュリティ センター]、[ セキュリティ センターの設定] の順にクリックします。
    2. 左側のウィンドウで [ ActiveX 設定] をクリックし、[ 通知なしですべてのコントロールを無効にする] を選択します。
    3. [OK] をクリックして設定を保存します。

    回避策の影響。 埋め込み ActiveX コントロールを使用する Office ドキュメントが意図したとおりに表示されない場合があります。

    回避策を元に戻す方法。

    Microsoft Office 2007 および Microsoft Office 2010 で ActiveX コントロールを再度有効にするには、次の手順を実行します。

    1. [ ファイル]、[ オプション] の順にクリックし、[ セキュリティ センター]、[ セキュリティ センターの設定] の順にクリックします。
    2. 左側のウィンドウで [ ActiveX 設定] を クリックし、[ 通知なしですべてのコントロールを無効にする] の選択を解除します。
    3. [OK] をクリックして設定を保存します。

 

  • これらのゾーンで ActiveX コントロールと Active Scripting をブロックするには、インターネットとローカル イントラネットのセキュリティ ゾーンの設定を "High" に設定します
    インターネット セキュリティ ゾーンの設定を変更して ActiveX コントロールと Active Scripting をブロックすることで、これらの脆弱性の悪用から保護できます。 これを行うには、ブラウザーのセキュリティを [高] に設定します。

    インターネット エクスプローラーで閲覧セキュリティ レベルを上げるには、次の手順を実行します。

    1. [インターネット エクスプローラー ツール] メニューの [インターネット オプション] をクリックします。
    2. [ インターネット オプション] ダイアログ ボックスで、[ セキュリティ ] タブをクリックし、[ インターネット] をクリックします。
    3. [このゾーンのセキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
    4. [ ローカル イントラネット] をクリックします。
    5. [このゾーンのセキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
    6. [OK] をクリックして変更を承諾し、インターネット エクスプローラーに戻ります。

    メモ スライダーが表示されない場合は、[ 既定のレベル] をクリックし、スライダーを [高] に移動します。

    メモ レベルを [高] に設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトの使用が困難で、サイトが安全に使用できると確信している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されていても、サイトが正しく動作するようになります。

    回避策の影響。 ActiveX コントロールと Active Scripting をブロックすると、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、追加機能を提供するために ActiveX または Active Scripting を使用します。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたはアクティブ スクリプトのブロックは、すべてのインターネット サイトとイントラネット サイトに影響を与えるグローバル設定です。 このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

  • アクティブ スクリプトを実行する前にプロンプトを表示するか、インターネットおよびローカル イントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にするように、インターネット エクスプローラーを構成する
    これらの脆弱性の悪用から保護するには、Active Scripting を実行する前にプロンプトを表示するように設定を変更するか、インターネットおよびローカル イントラネット セキュリティ ゾーンで Active Scripting を無効にします。 この操作を行うには、次の手順に従います。

    1. [インターネット エクスプローラー] で、[ツール] メニューの [インターネット オプション] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [ インターネット] をクリックし、[ カスタム レベル] をクリックします。
    4. [ 設定] の [ スクリプト ] セクションの [ アクティブなスクリプト] で、[ プロンプト ] または [無効] をクリックし、[OK] をクリック します
    5. [ ローカル イントラネット] をクリックし、[ カスタム レベル] をクリックします。
    6. [ 設定] の [ スクリプト ] セクションの [ アクティブなスクリプト] で、[ プロンプト ] または [無効] をクリックし、[OK] をクリック します
    7. [OK] を 2 回クリックしてインターネット エクスプローラーに戻ります。

    メモ インターネットおよびローカル イントラネット セキュリティ ゾーンで Active Scripting を無効にすると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトの使用が困難で、サイトが安全に使用できると確信している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、サイトが正しく動作するようになります。

    回避策の影響。 アクティブ スクリプトを実行する前にプロンプトを表示する場合は、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、アクティブ スクリプトを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネット サイトとイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 プロンプトごとに、アクセスするサイトが信頼できる場合は、[ はい ] をクリックしてアクティブ スクリプトを実行します。 これらのすべてのサイトに対してプロンプトが表示されないようにするには、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」に記載されている手順を使用します。

  • 信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する
    インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求するようにインターネット エクスプローラーを設定した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃から保護しながら、現在とまったく同じように信頼できる Web サイトを引き続き使用できます。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。

    この操作を行うには、次の手順に従います。

    1. [インターネット エクスプローラー] で[ツール]、[インターネット オプション] の順にクリックし、[セキュリティ] タブをクリックします。
    2. [ Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する ] ボックスで、[ 信頼済みサイト] をクリックし、[ サイト] をクリックします。
    3. 暗号化されたチャネルを必要としないサイトを追加する場合は、クリックして [サーバーの検証を要求する (https:)] をオフにします。このゾーンチェックボックス内のすべてのサイトに対して。
    4. [ この Web サイトをゾーンに追加する ] ボックスに、信頼するサイトの URL を入力し、[ 追加] をクリックします。
    5. ゾーンに追加するサイトごとに、次の手順を繰り返します。
    6. [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

    メモ システムで悪意のあるアクションを実行しないように信頼できるサイトを追加します。 特に追加する必要があるサイトは 、*.windowsupdate.microsoft.com*.update.microsoft.com の 2 つです。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開情報については、「Executive Summary」で参照されている Microsoft サポート技術情報の記事を参照してください。

謝辞

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく "現状有姿" で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2016 年 3 月 10 日): セキュリティ情報が公開されました。

Page generated 2016-03-10 13:50-08:00。