マイクロソフト セキュリティ情報 MS16-104 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (3183038)
公開日: 2016 年 9 月 14 日
バージョン: 1.0
概要
このセキュリティ更新プログラムは、Internet Explorer の脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
このセキュリティ更新プログラムは、影響を受ける Windows クライアント上の Internet Explorer 9 (IE 9) および Internet Explorer 11 (IE 11) について深刻度を「緊急」と評価し、影響を受ける Windows サーバー上の Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) および Internet Explorer 11 (IE 11) について深刻度を「警告」と評価しています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。
この更新プログラムでは、Internet Explorer が次の設定やコンテンツなどを処理する方法を変更することにより、脆弱性を解決します。
- ゾーンと整合性の設定
- クロス オリジンのコンテンツ
- メモリ内オブジェクト
- .URL ファイル
この脆弱性の詳細については、「脆弱性の情報」を参照してください。
この更新プログラムの詳細については、マイクロソフト サポート技術情報 3183038 を参照してください。
影響を受けるソフトウェア
次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
| **オペレーティング システム** | **コンポーネント** | **最も深刻な脆弱性の影響** | **総合的な深刻度** | **置き換えられる更新プログラム**\* |
| **Internet Explorer 9** | ||||
| Windows Vista Service Pack 2 | [Internet Explorer 9](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=13698700-2b65-41a6-a195-2df416400c2f) (3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows Vista x64 Edition Service Pack 2 | [Internet Explorer 9](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=c9df264e-ffc7-427e-89fe-41aa8522ae65) (3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 | [Internet Explorer 9](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=7bb1ace8-7104-49ee-88ce-cc44bb7b11eb) (3185319) | リモートでコードが実行される | 警告 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows Server 2008 for x64-based Systems Service Pack 2 | [Internet Explorer 9](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccd836c8-89b9-43e9-85cf-336d7908e07e) (3185319) | リモートでコードが実行される | 警告 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| **Internet Explorer 10** | ||||
| Windows Server 2012 | [Internet Explorer 10](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=b848b2c4-0483-4ec9-9caf-c8d0b8b727c8)[1] (3185319) | リモートでコードが実行される | 警告 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| **Internet Explorer 11** | ||||
| Windows 7 for 32-bit Systems Service Pack 1 | [Internet Explorer 11 ](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=b0ea1c30-483a-42bf-ae92-bf931f97719b)(3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows 7 for x64-based Systems Service Pack 1 | [Internet Explorer 11 ](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=cb174245-7121-4fda-b968-2ab3f6360acb)(3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | [Internet Explorer 11](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=a712e756-bbee-4fa0-b54f-d0067e6a2bb9)[1] (3185319) | リモートでコードが実行される | 警告 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows 8.1 for 32-bit Systems | [Internet Explorer 11 ](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=bf42eba6-0f56-45e8-92e5-5d642b61abdd)(3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows 8.1 for x64-based Systems | [Internet Explorer 11 ](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=5a471475-7c5a-4699-bfb7-d0c61fa7ac41)(3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows Server 2012 R2 | [Internet Explorer 11 ](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=c31e14fc-a1eb-4c66-a34a-c3d4c471e449)(3185319) | リモートでコードが実行される | 警告 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| Windows RT 8.1 | Internet Explorer 11[1] [2] (3185319) | リモートでコードが実行される | 緊急 | [MS16-095](https://go.microsoft.com/fwlink/?linkid=821136) の 3175443 |
| [Windows 10 for 32-bit Systems](https://support.microsoft.com/ja-jp/kb/3185611)[3] (3185611) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176492](https://support.microsoft.com/ja-jp/kb/3176492) |
| [Windows 10 for x64-based Systems](https://support.microsoft.com/ja-jp/kb/3185611)[3] (3185611) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176492](https://support.microsoft.com/ja-jp/kb/3176492) |
| [Windows 10 Version 1511 for 32-bit Systems](https://support.microsoft.com/ja-jp/kb/3185614)[3] (3185614) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176493](https://support.microsoft.com/ja-jp/kb/3176493) |
| [Windows 10 Version 1511 for x64-based Systems](https://support.microsoft.com/ja-jp/kb/3185614)[3] (3185614) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176493](https://support.microsoft.com/ja-jp/kb/3176493) |
| [Windows 10 Version 1607 for 32-bit Systems](https://support.microsoft.com/ja-jp/kb/3189866)[3] (3189866) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176495](https://support.microsoft.com/ja-jp/kb/3176495) |
| [Windows 10 Version 1607 for x64-based Systems](https://support.microsoft.com/ja-jp/kb/3189866)[3] (3189866) | Internet Explorer 11 | リモートでコードが実行される | 緊急 | [3176495](https://support.microsoft.com/ja-jp/kb/3176495) |
[2]この更新プログラムは、Windows Update を介して利用可能です。
[3]Windows 10 の更新プログラムは累積的です。今月のセキュリティリリースには、セキュリティ以外の更新プログラムに加えて、Windows 10 に影響する脆弱性のすべてのセキュリティ修正プログラムが含まれています。これらの更新プログラムは、Microsoft Update カタログから入手できます。
注意 このセキュリティ情報で説明している脆弱性は、Windows Server 2016 Technical Preview 5 に影響を及ぼします。この脆弱性からシステムを保護するために、このオペレーティング システムを実行しているお客様は、Windows Update から入手できる最新の更新プログラムを適用することをお勧めします。
* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。
更新プログラムに関する FAQ
この更新プログラムをインストールすること以外に、このセキュリティ情報に記載されている脆弱性を回避するために実行する必要がある手順は他にありますか?
はい。Windows 10 システムの場合、9 月の Windows 10 用の累積的な更新プログラムをインストールするだけで CVE-2016-3375 の脆弱性を回避できますが、それ以外のすべての影響を受けるオペレーティング システムの場合、累積的な更新プログラム 3185319 をインストールするだけでは CVE-2016-3375 を完全に回避することができません。この脆弱性を完全に回避するには、MS16-116 のセキュリティ更新プログラム 3184122 もインストールする必要があります。
この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。このセキュリティ情報で説明されている脆弱性について記載されている変更のほか、この更新プログラムにはセキュリティ関連機能を改善する多層防御の変更が含まれています。
深刻度および脆弱性識別番号
次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、9 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。
深刻度の評価および影響の表で、「緊急」、「重要」、および「警告」という値が明記されている場合、それらは深刻度の評価を示します。詳細については、セキュリティ情報の深刻度評価システムを参照してください。表内で使用される次のキーで示される省略形は、最も大きな影響があることを示しています。
| 省略形 | 最も大きな影響 |
| RCE | リモートでコードが実行される |
| EoP | 特権の昇格 |
| ID | 情報漏えい |
| SFB | セキュリティ機能のバイパス |
| **脆弱性の深刻度の評価および影響** | |||||
| **CVE 番号** | 脆弱性のタイトル | **Internet Explorer 9** | **Internet Explorer 10** | **Internet Explorer 11** | **Windows 10 上の** **Internet Explorer 11** |
| [CVE-2016-3247](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3247) | Microsoft ブラウザーのメモリ破損の脆弱性 | 対象外 | 対象外 | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** |
| [CVE-2016-3291](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3291) | Microsoft ブラウザーの情報漏えいの脆弱性 | 対象外 | 対象外 | Windows クライアント: **警告/ID** Windows サーバー **注意/ID** | Windows クライアント: **警告/ID** Windows サーバー **注意/ID** |
| [CVE-2016-3292](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3292) | Microsoft ブラウザーの特権の昇格の脆弱性 | 対象外 | Windows クライアント: **重要/EoP** Windows サーバー **注意/EoP** | Windows クライアント: **重要/EoP** Windows サーバー **注意/EoP** | Windows クライアント: **重要/EoP** Windows サーバー **注意/EoP** |
| [CVE-2016-3295](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3295) | Microsoft ブラウザーのメモリ破損の脆弱性 | 対象外 | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** |
| [CVE-2016-3297](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3297) | Microsoft ブラウザーのメモリ破損の脆弱性 | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** |
| [CVE-2016-3324](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3324) | Internet Explorer のメモリ破損の脆弱性 | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** | Windows クライアント: **重要/RCE** Windows サーバー **注意/RCE** |
| [CVE-2016-3325](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3325) | Microsoft ブラウザーの情報漏えいの脆弱性 | 対象外 | 対象外 | 対象外 | Windows クライアント: **重要/ID** Windows サーバー **注意/ID** |
| [CVE-2016-3351](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3351) | Microsoft ブラウザーの情報漏えいの脆弱性 | Windows クライアント: **重要/ID** Windows サーバー **注意/ID** | Windows クライアント: **重要/ID** Windows サーバー **注意/ID** | Windows クライアント: **重要/ID** Windows サーバー **注意/ID** | Windows クライアント: **重要/ID** Windows サーバー **注意/ID** |
| [CVE-2016-3353](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3353) | Internet Explorer のセキュリティ機能のバイパス | Windows クライアント: **重要/SFB** Windows サーバー **注意/SFB** | Windows クライアント: **重要/SFB** Windows サーバー **注意/SFB** | Windows クライアント: **重要/SFB** Windows サーバー **注意/SFB** | Windows クライアント: **重要/SFB** Windows サーバー **注意/SFB** |
| [CVE-2016-3375](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3375) | スクリプト エンジンのメモリ破損の脆弱性 | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** | Windows クライアント: **緊急/RCE** Windows サーバー **警告/RCE** |
脆弱性の情報
複数の Microsoft Internet Explorer のメモリ破損の脆弱性
Internet Explorer がメモリ内のオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性が複数存在します。この脆弱性を利用すると、攻撃者が現在のユーザーのコンテキストで任意のコードを実行するような方法で、メモリを破損できる可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
攻撃者は、Internet Explorer を介してこの脆弱性を悪用するために特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。また、攻撃者は、脆弱性を悪用する可能性のある特別な細工がされたコンテンツを追加することによって、侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れるまたはホストする Web サイトを悪用する可能性もあります。しかし、どのような場合でも、攻撃者が制御するコンテンツをユーザーに強制的に表示させることはできません。一般的には電子メールやインスタント メッセージを使ってユーザーを誘導したり、電子メールの添付ファイルを開かせたりすることで、ユーザーに特定の操作を行わせる必要があります。
この更新プログラムは、Internet Explorer がメモリ内のオブジェクトを処理する方法を変更することにより、これらの脆弱性を解決します。
次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Microsoft ブラウザーのメモリ破損の脆弱性 | CVE-2016-3247 | なし | なし |
| Microsoft ブラウザーのメモリ破損の脆弱性 | CVE-2016-3295 | なし | なし |
| Microsoft ブラウザーのメモリ破損の脆弱性 | CVE-2016-3297 | なし | なし |
| Internet Explorer のメモリ破損の脆弱性 | CVE-2016-3324 | なし | なし |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| スクリプト エンジンのメモリ破損の脆弱性 | CVE-2016-3375 | なし | なし |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Microsoft ブラウザーの特権の昇格の脆弱性 | CVE-2016-3292 | なし | なし |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Microsoft ブラウザーの情報漏えいの脆弱性 | CVE-2016-3325 | なし | なし |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Microsoft ブラウザーの情報漏えいの脆弱性 | CVE-2016-3351 | なし | あり |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Microsoft ブラウザーの情報漏えいの脆弱性 | CVE-2016-3291 | なし | なし |
| 脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
| Internet Explorer のセキュリティ機能のバイパス | CVE-2016-3353 | なし | なし |