Microsoft セキュリティ情報 MS16-128 - 重大

Adobe Flash Player のセキュリティ更新プログラム (3201860)

公開日: 2016 年 10 月 27 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、サポートされているすべてのエディションの Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、および Windows 10 にインストールされている Adobe Flash Player の脆弱性を解決します。

このセキュリティ更新プログラムは重大と評価されています。 この更新プログラムは、インターネット エクスプローラー 10、インターネット エクスプローラー 11、および Microsoft Edge に含まれる影響を受ける Adobe Flash ライブラリを更新することで、Adobe Flash Player の脆弱性を解決します。 詳細については、「 影響を受けるソフトウェア 」セクションを参照してください。

この更新プログラムの詳細については、「 Microsoft サポート技術情報の記事3201860」を参照してください。

脆弱性情報

このセキュリティ更新プログラムは、Adobe Security Bulletin APSB16-36 で説明されている次の脆弱性に対処します。

CVE-2016-7855

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフ サイクルを過ぎているか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

オペレーティング システム コンポーネント 重大度と影響の集計 更新置換済み*
Windows 8.1
32 ビット システムのWindows 8.1 Adobe Flash Player (3201860) 重要 リモート コード実行 MS16-127 の3194343
x64 ベースのシステムのWindows 8.1 Adobe Flash Player (3201860) 重要 リモート コード実行 MS16-127 の3194343
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3201860) 中程 度 リモート コード実行 MS16-127 の3194343
Windows Server 2012 R2 Adobe Flash Player (3201860) 中程 度 リモート コード実行 MS16-127 の3194343
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3201860)[1] 重要 リモート コード実行 MS16-127 の3194343
Windows 10
32 ビット システムのWindows 10 Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343
x64 ベースのシステムのWindows 10 Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343
Windows 10 バージョン 1511 for 32 ビット システム Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343
x64 ベースのシステムのWindows 10 バージョン 1511 Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343
Windows 10 バージョン 1607 for 32 ビット システム Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343
x64 ベースのシステムのWindows 10 バージョン 1607 Adobe Flash Player (3201860)[2] 重要 リモート コード実行 MS16-127 の3194343

[1]この更新プログラムは、Windows Updateから入手できます。

[2]Windows 10更新プログラムの Adobe FlashPlayer の更新プログラムは、Windows Updateまたは Microsoft Update Catalog から入手できます。

メモこのセキュリティ情報で説明されている脆弱性は、Technical Preview 5 Windows Server 2016影響を受けます。 この脆弱性から保護するために、Microsoft では、このオペレーティング システムを実行しているお客様に現在の更新プログラムを適用することを推奨Windows Update

*[置換更新] 列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、 Microsoft Update カタログに移動し、更新プログラムの KB 番号を検索して、更新プログラムの詳細を表示します (置き換えられた更新プログラムの情報は[パッケージの詳細] タブで提供されます)。

よく寄せられる質問

攻撃者はこれらの脆弱性をどのように悪用する可能性がありますか?
ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Web サイトをホストし、ユーザーに Web サイトを表示するように誘導する可能性があります。 攻撃者は、IE レンダリング エンジンをホストするアプリケーションまたは Microsoft Office ドキュメントに、"初期化しても安全" とマークされた ActiveX コントロールを埋め込む可能性もあります。 攻撃者は、侵害された Web サイトや、ユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。 これらの Web サイトには、これらの脆弱性のいずれかを悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者はユーザーにアクションを実行するように誘導する必要があります。通常は、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックして、ユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開きます。

ユーザーが Windows 8 スタイルの UI でインターネット エクスプローラーを使用している Web ベースの攻撃シナリオでは、攻撃者はまず、互換性ビュー (CV) リストに既に記載されている Web サイトを侵害する必要があります。 その後、攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者はユーザーにアクションを実行するように誘導する必要があります。通常は、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックして、ユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開きます。 インターネット エクスプローラーと CV リストの詳細については、MSDN の記事「Windows 8 の Adobe Flash Player のコンテンツを含む Web サイトの開発者向けガイダンス」を参照してください。

軽減要因

軽減策とは、既定の状態に存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 状況によっては、次の軽減要因が役立つ場合があります。

  • ユーザーがデスクトップ用 Internet Explorerを使用している Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性のいずれかを悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者はユーザーに Web サイトにアクセスするように誘導する必要があります。通常は、ユーザーに電子メール メッセージまたはインスタント メッセンジャー メッセージのリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導します。
  • Windows 8 スタイルの UI のインターネット エクスプローラーは、互換性ビュー (CV) リストに一覧表示されているサイトからのみ Flash コンテンツを再生します。 この制限により、攻撃者は最初に CV リストに既にリストされている Web サイトを侵害する必要があります。 その後、攻撃者は、インターネット エクスプローラーを介してこれらの脆弱性のいずれかを悪用するように設計された特別に細工された Flash コンテンツをホストし、ユーザーに Web サイトを表示させる可能性があります。 攻撃者は、攻撃者が制御するコンテンツをユーザーに強制的に表示させる方法はありません。 代わりに、攻撃者はユーザーにアクションを実行するように誘導する必要があります。通常は、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックして、ユーザーを攻撃者の Web サイトに誘導するか、電子メールで送信された添付ファイルを開きます。
  • 既定では、サポートされているすべてのバージョンの Microsoft Outlook と Windows Live Mail は、制限付きサイト ゾーンで HTML メール メッセージを開きます。 スクリプトと ActiveX コントロールを無効にする制限付きサイト ゾーンは、攻撃者がこれらの脆弱性のいずれかを使用して悪意のあるコードを実行できるリスクを軽減するのに役立ちます。 ユーザーが電子メール メッセージのリンクをクリックした場合でも、Web ベースの攻撃シナリオを通じてこれらの脆弱性が悪用される可能性があります。
  • 既定では、Windows Server 2012 および Windows Server 2012 R2 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 このモードは、インターネット エクスプローラーで Adobe Flash Player の脆弱性が悪用される可能性を減らすのに役立ちます。

対処方法

回避策とは、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。

  • Adobe Flash Player の実行を禁止する

    レジストリでコントロールの強制終了ビットを設定することで、インターネット エクスプローラーおよびその他のアプリケーション (Office 2007 や Office 2010 など) を優先する Adobe Flash Player のインスタンス化の試行を無効にすることができます。

    警告 レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディタの誤使用によって生じた問題をユーザー自身が解決できるとは保証できません。 問題が発生する可能性のあることを十分に認識したうえで利用してください。

    レジストリ内のコントロールの強制終了ビットを設定するには、次の手順を実行します。

    1. 次の内容をテキスト ファイルに貼り付け、.reg ファイル拡張子で保存します。

          Windows Registry Editor Version 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. .reg ファイルをダブルクリックして、個々のシステムに適用します。 グループ ポリシーを使用して、ドメイン間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事「グループ ポリシー コレクション」を参照してください。

    メモ変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

    回避策の影響。 オブジェクトがインターネット エクスプローラーで使用されることを意図していない限り、影響はありません。

    回避策を元に戻す方法。 この回避策の実装で追加されたレジストリ キーを削除します。

  • グループ ポリシーを介して Adobe Flash Player がインターネット エクスプローラーで実行されないようにする

    メモグループ ポリシー MMC スナップインを使用して、コンピューター、組織単位、またはドメイン全体のポリシーを設定できます。 グループ ポリシーの詳細については、次の Microsoft Web サイトを参照してください。

    グループ ポリシーの概要

    オブジェクト エディターグループ ポリシーとは

    コア グループ ポリシー ツールと設定

    グループ ポリシーを介してインターネット エクスプローラーで Adobe Flash Player を無効にするには、次の手順に従います。

    メモ この回避策では、Microsoft Office 2007 や Microsoft Office 2010 などの他のアプリケーションから Flash を呼び出すことはできません。

    1. グループ ポリシー管理コンソールを開き、ローカル コンピューター、OU、ドメイン GPO などの適切なグループ ポリシー オブジェクトを操作するようにコンソールを構成します。
    2. [管理用テンプレート] -[Windows コンポーネント] ->[インターネット エクスプローラー] ->[セキュリティ機能] ->[>アドオン管理] の順に移動します。
    3. [インターネット エクスプローラーで Adobe Flash を無効にする] をダブルクリックし、アプリケーションがインターネット エクスプローラー テクノロジを使用して Flash オブジェクトをインスタンス化できないようにします
    4. 設定を [有効] に変更します。
    5. [適用] をクリックし、[OK] をクリックしてグループ ポリシー管理コンソールに戻ります。
    6. すべてのシステムでグループ ポリシーを更新するか、次にスケジュールされたグループ ポリシー更新間隔が設定が有効になるまで待ちます。
  • 影響を受けるシステムで Adobe Flash Player を Office 2010 で実行できないようにする

    メモこの回避策により、Adobe Flash Player がインターネット エクスプローラーで実行されるのを防ぐことはありません。

    警告 レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディタの誤使用によって生じた問題をユーザー自身が解決できるとは保証できません。 問題が発生する可能性のあることを十分に認識したうえで利用してください。

    インターネット エクスプローラーでコントロールが実行されないようにするために使用できる詳細な手順については、Microsoft サポート技術情報の記事240797を参照してください。 記事の手順に従ってレジストリに互換性フラグ値を作成し、COM オブジェクトがインターネット エクスプローラーでインスタンス化されないようにします。

    Office 2010 でのみ Adobe Flash Player を無効にするには、次の手順に従ってレジストリで Adobe Flash Player の ActiveX コントロールのキル ビットを設定します。

    1. 次の内容を含む Disable_Flash.reg という名前のテキスト ファイルを作成します。

          Windows Registry Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. .reg ファイルをダブルクリックして、個々のシステムに適用します。

    3. メモ変更を有効にするには、インターネット エクスプローラーを再起動する必要があります。

      グループ ポリシーを使用して、ドメイン間でこの回避策を適用することもできます。 グループ ポリシーの詳細については、TechNet の記事「グループ ポリシー コレクション」を参照してください。

 

  • Office 2007 および Office 2010 で ActiveX コントロールが実行されないようにする

    インターネット エクスプローラーの Adobe Flash Player など、Microsoft Office 2007 および Microsoft Office 2010 のすべての ActiveX コントロールを無効にするには、次の手順を実行します。

    1. [ ファイル] をクリックし、[ オプション]、[ セキュリティ センター] の順にクリックし、[ セキュリティ センターの設定] をクリックします。
    2. 左側のウィンドウで [ ActiveX 設定] をクリックし、[ 通知なしですべてのコントロールを無効にする] を選択します。
    3. [OK] をクリックして設定を保存します。

    回避策の影響。 埋め込み ActiveX コントロールを使用する Office ドキュメントは、意図したとおりに表示されない場合があります。

    回避策を元に戻す方法。

    Microsoft Office 2007 および Microsoft Office 2010 で ActiveX コントロールを再度有効にするには、次の手順を実行します。

    1. [ ファイル] をクリックし、[ オプション]、[ セキュリティ センター] の順にクリックし、[ セキュリティ センターの設定] をクリックします。
    2. 左側のウィンドウで [ ActiveX 設定] をクリックし、[ 通知なしですべてのコントロールを無効にする] の選択を解除します。
    3. [OK] をクリックして設定を保存します。

 

  • これらのゾーンで ActiveX コントロールとアクティブ スクリプトをブロックするには、インターネットとローカルイントラネットのセキュリティ ゾーン設定を "High" に設定します

    インターネット セキュリティ ゾーンの設定を変更して ActiveX コントロールと Active Scripting をブロックすることで、これらの脆弱性の悪用から保護できます。 これを行うには、ブラウザーのセキュリティを [高] に設定します。

    インターネット エクスプローラーで閲覧セキュリティ レベルを上げるには、次の手順を実行します。

    1. [インターネット エクスプローラー ツール] メニューの [インターネット オプション] をクリックします。
    2. [ インターネット オプション] ダイアログ ボックスで、[ セキュリティ ] タブをクリックし、[ インターネット] をクリックします。
    3. [このゾーンのセキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
    4. [ ローカル イントラネット] をクリックします。
    5. [このゾーンのセキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。
    6. [OK] をクリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

    メモ スライダーが表示されていない場合は、[ 既定のレベル] をクリックし、スライダーを [高] に移動します。

    メモ レベルを [高] に設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できると確信している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されていても、サイトが正しく動作するようになります。

    回避策の影響。 ActiveX コントロールと Active Scripting をブロックすると、副作用が発生します。 インターネットまたはイントラネット上の多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールまたは Active Scripting をブロックすることは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 このようなサイトの ActiveX コントロールまたは Active Scripting をブロックしない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

  • Active Scripting を実行する前にプロンプトを表示したり、インターネットおよびローカル イントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にしたりするようにインターネット エクスプローラーを構成する

    アクティブ スクリプトを実行する前にプロンプトを表示するように設定を変更するか、インターネットおよびローカル イントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にすることで、これらの脆弱性の悪用から保護できます。 この操作を行うには、次の手順に従います。

    1. [インターネット エクスプローラー] で、[ツール] メニューの [インターネット オプション] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [ インターネット] をクリックし、[ カスタム レベル] をクリックします。
    4. [ 設定] の [ スクリプト ] セクションの [ Active Scripting] で、[**Prompt **] または [Disable]\(無効にする\) をクリックし、[OK] をクリック します
    5. [ ローカル イントラネット] をクリックし、[ カスタム レベル] をクリックします。
    6. [ 設定] の [ スクリプト ] セクションの [ Active Scripting] で、[**Prompt **] または [Disable]\(無効にする\) をクリックし、[OK] をクリック します
    7. [OK] をクリックしてインターネット エクスプローラーに戻り、もう一度 [OK] をクリックします

    メモ インターネットとローカル イントラネットのセキュリティ ゾーンで Active Scripting を無効にすると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトを使用するのが難しく、サイトが安全に使用できると確信している場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、サイトが正しく動作するようになります。

    回避策の影響。 Active Scripting を実行する前にプロンプトを表示する場合は、副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、アクティブ スクリプトを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネット サイトとイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 プロンプトごとに、アクセスするサイトが信頼できる場合は、[ はい ] をクリックしてアクティブ スクリプトを実行します。 これらのすべてのサイトに対してプロンプトが表示されないようにするには、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」に記載されている手順を使用します。

    ** **

  • 信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する

    インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求するようにインターネット エクスプローラーを設定した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃から保護しながら、現在とまったく同じように信頼できる Web サイトを引き続き使用できます。 信頼できるサイトのみを [信頼済みサイト] ゾーンに追加することをお勧めします。

    この操作を行うには、次の手順に従います。

    1. [インターネット エクスプローラー] で[ツール]、[インターネット オプション] の順にクリックし、[セキュリティ] タブをクリックします。
    2. [ Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する ] ボックスで、[ 信頼済みサイト] をクリックし、[ サイト] をクリックします。
    3. 暗号化されたチャネルを必要としないサイトを追加する場合は、クリックして [サーバーの検証を要求する (https:) ] をオフにします。このゾーンチェックボックス内のすべてのサイトに対して。
    4. [ この Web サイトをゾーンに追加する ] ボックスに、信頼できるサイトの URL を入力し、[ 追加] をクリックします。
    5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
    6. [OK] を 2 回クリックして変更を承諾し、インターネット エクスプローラーに戻ります。

    メモ システムで悪意のあるアクションを実行しないように信頼できるサイトを追加します。 特に追加するサイトは 、*.windowsupdate.microsoft.com*.update.microsoft.com の 2 つです。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。

謝辞

Microsoft は、Microsoft が連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく "現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2016 年 10 月 26 日): セキュリティ情報が公開されました。

Page generated 2016-10-27 9:19Z-07:00。