Security Advisory

マイクロソフト セキュリティ アドバイザリ 953839

ActiveX の Kill Bit 更新プログラムのロールアップ

公開日: 2008年8月13日 | 最終更新日: 2009年3月12日

お知らせ内容 セキュリティ更新プログラムの公開
更新プログラム サポート技術情報 953839
被害報告 他社製品のため被害報告は掲載していません。
回避策 あり
対応方法 サポート技術情報 953839 で提供しているセキュリティ更新プログラムをインストールしてください。

※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。

マイクロソフトはこのアドバイザリとともに、ActiveX の Kill Bit の新しいセットを公開しました。 この更新プログラムには次のサードパーティ製ソフトウェア用の Kill Bit が含まれています。

  • Aurigma Image Uploader: Aurigma (英語情報) は セキュリティ情報 (英語情報) およびこの脆弱性を解決する更新プログラムを公開しました。詳細情報は、Aurigma のセキュリティ情報をご覧ください。これらの Kill Bit は、ActiveX コントロールの管理者のリクエストにより設定されます。サポートが必要なお客様は Aurigma (英語情報) までお問い合わせください。このアドバイザリの「よく寄せられる質問」にこの ActiveX コントロールのクラス識別子 (CLSID) を記載しています。
  • HP は 2 件のセキュリティ情報 (c01422264) および (c01439758)を公開し、また、これらの脆弱性を解決する更新プログラムも公開しました。詳細情報およびダウンロード先は、HP のセキュリティ情報をご覧ください。この Kill Bit は、ActiveX コントロールの管理者のリクエストにより設定されます。サポートが必要なお客様は HP までお問い合わせください。このアドバイザリの「よく寄せられる質問」にこの ActiveX コントロールのクラス識別子 (CLSID) を記載しています。

この更新プログラムのインストールに関する詳細情報は、サポート技術情報 953839 をご覧ください。

概説

概要

アドバイザリの目的: このアドバイザリは、ActiveX の Kill Bit 更新プログラムが利用可能になったことをお知らせするためのものです。

アドバイザリの状況: マイクロソフト サポート技術情報および関連の更新プログラムをリリースしました。

推奨する対応策: サポート技術情報を確認し、適切な更新プログラムを適用してください。

参照情報 番号
マイクロソフト サポート技術情報 953839

このアドバイザリは次のソフトウェアについて説明しています。

関連するソフトウェア
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 および Service Pack 3
Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista および Windows Vista Service Pack 1
Windows Vista x64 Edition および Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for x64-based Systems
Windows Server 2008 for Itanium-based Systems

よく寄せられる質問

この更新プログラムは ActiveX の Kill Bit 更新プログラムのロールアップに置き換わるものですか?
いいえ。自動更新のためであり、この更新プログラムはマイクロソフト セキュリティ情報 MS08-032 で説明した ActiveX の Kill Bit 更新プログラムのロールアップに置き換わるものではありません。 自動更新は、お客様がこの更新プログラム (953839) をインストールしたかどうかに関わらず、MS08-032 の更新プログラムを提供します。 しかし、この更新プログラム (953839) をインストールされるお客様は、MS08-032 で設定されるすべての Kill Bit による保護を行う目的で MS08-032 の更新プログラムをインストールする必要はありません。

Windows Server 2008 Server Core インストールを使用しているユーザーは、この更新プログラムをインストールする必要がありますか?
Windows Server 2008 Server Core インストールを使用している場合、この更新プログラムが提供されますが、インストールする必要はありません。Server Core インストール オプションに関する詳細情報は、Server Core をご覧ください。Windows Server 2008 の特定のエディションでは、Server Core インストール オプションが使用できないことに注意してください。詳細は、Server Core インストールオプションの比較をご覧ください。

マイクロソフトは以前の Kill Bit の更新プログラムをセキュリティ情報で公開しましたが、なぜ今回の ActiveX の Kill Bit の累積的な更新プログラムはセキュリティ アドバイザリで公開しているのですか?
新しい Kill Bit はマイクロソフトのソフトウェアに影響を及ぼさないため、マイクロソフトはこの ActiveX の Kill Bit の累積的な更新プログラムをアドバイザリとして公開しました。

なぜこのアドバイザリにはセキュリティの評価がないのですか?
この累積的な更新プログラムにはマイクロソフト所有ではない、サードパーティ製コントロール用の Kill Bit が含まれています。マイクロソフトは、影響を受けるサードパーティ製コントロールに関してセキュリティの評価は行っていません。

この累積的な更新プログラムには ActiveX の Kill Bit の累積的な更新プログラムで以前に公開された Kill Bit が含まれていますか?
はい。この更新プログラムには、以前にマイクロソフト セキュリティ情報 MS08-032 で公開した Kill Bit も含まれています。

この累積的な更新プログラムには、以前 Internet Explorer のセキュリティ更新プログラムに同梱された Kill Bit が含まれていますか?
いいえ。この更新プログラムには以前 Internet Explorer のセキュリティ更新プログラムに同梱された Kill Bit は含まれていません。マイクロソフトは最新の Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールすることを推奨します。

Kill Bit とは何ですか?
Kill Bit は Microsoft Internet Explorer のセキュリティ機能で、Internet Explorer の HTML レンダリング エンジンが ActiveX コントロールを読み込まないようにすることができます。これは、レジストリで設定され、Kill Bit の設定と呼ばれています。Kill Bit を設定すると、完全にインストールされていても、コントロールは読み込まれません。Kill Bit を設定すると、影響を受けるコンポーネントがシステムに導入されたり、再導入されても、活性化せず無害の状態を確実に保ちます。

詳細は、サポート技術情報 240797「Internet Explorer で ActiveX コントロールの動作を停止する方法」をご覧ください。

ActiveX の Kill Bit のセキュリティ更新プログラムとは何ですか?
このセキュリティ更新プログラムには、このセキュリティ更新プログラムの基礎である特定の ActiveX コントロールのクラス ID (CLSID) だけが含まれています。

この更新プログラムにバイナリ ファイルが含まれていないのは、どうしてですか?
この更新プログラムは、Internet Explorer でコントロールがインスタンス化されないようにするためのレジストリへの変更のみを行います。

影響を受けるコンポーネントをインストールしていない、または影響を受けるプラットフォームを使用していなくても、この更新プログラムをインストールする必要がありますか?
はい。この更新プログラムをインストールすると、影響を受けるコントロールが Internet Explorer で実行されることを阻止します。

このセキュリティ情報で説明している ActiveX コントロールを後日インストールした場合、この更新プログラムを再度適用する必要がありますか?
いいえ、この更新プログラムを再度適用する必要はありません。後日コントロールがインストールされたとしても、Kill Bit は Internet Explorer がコントロールを実行することを防ぎます。

この更新プログラムは何を行いますか? この更新プログラムはクラス識別子 (CLSID) のリストに Kill Bit を設定します。 Aurigma (英語情報) から影響を受けるクラス識別子の一覧に Kill Bit を設定するようリクエストを受けました。詳細は HP の公開した (c01422264) および (c01439758) をご覧ください。

クラス識別子
{B60770C2-0390-41A8-A8DE-61889888D840}
{44A6A9CA-AC5B-4C39-8FE6-17E7D06903A9}
{76EE578D-314B-4755-8365-6E1722C001A2}
{F89EF74A-956B-4BD3-A066-4F23DF891982}
{101D2283-EED9-4BA2-8F3F-23DB860946EB}
{69C462E1-CD41-49E3-9EC2-D305155718C1}
{41473CFB-66B6-45B8-8FB3-2BC9C1FD87BA}
{108092BF-B7DB-40D1-B7FB-F55922FCC9BE}
{CF08D263-B832-42DB-8950-F40C9E672E27}
{F1F51698-7B63-4394-8743-1F4CF1853DE1}
{905BF7D7-6BC1-445A-BE53-9478AC096BEB}
{916063A5-0098-4FB7-8717-1B2C62DD4E45}
{AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4}
{AE6C4705-0F11-4ACB-BDD4-37F138BEF289}
{FA8932FF-E064-4378-901C-69CB94E3A20A}
{3604EC19-E009-4DCB-ABC5-BB95BF92FD8B}
{65FB3073-CA8E-42A1-9A9A-2F826D05A843}
{7EB2A2EC-1C3A-4946-9614-86D3A10EDBF3}
{9BAFC7B3-F318-4BD4-BABB-6E403272615A}
{05CDEE1D-D109-4992-B72B-6D4F5E2AB731}
{977315A5-C0DB-4EFD-89C2-10AA86CA39A5}
{1E0D3332-7441-44FF-A225-AF48E977D8B6}
{B85537E9-2D9C-400A-BC92-B04F4D9FF17D}
{2C2DE2E6-2AD1-4301-A6A7-DF364858EF01}
{0270E604-387F-48ED-BB6D-AA51F51D6FC3}
{FC28B75F-F9F6-4C92-AF91-14A3A51C49FB}
{86C2B477-5382-4A09-8CA3-E63B1158A377}
{8CC18E3F-4E2B-4D27-840E-CB2F99A3A003}
{68BBCA71-E1F6-47B2-87D3-369E1349D990}
{8DBC7A04-B478-41D5-BE05-5545D565B59C}
{D986FE4B-AE67-43C8-9A89-EADDEA3EC6B6}
{6CA73E8B-B584-4533-A405-3D6F9C012B56}
{6E5E167B-1566-4316-B27F-0DDAB3484CF7}
{A7866636-ED52-4722-82A9-6BAABEFDBF96}
{B0A08D67-9464-4E73-A549-2CC208AC60D3}
{3D6A1A85-DE54-4768-9951-053B3B02B9B0}
{947F2947-2296-42FE-92E6-E2E03519B895}
{47AF06DD-8E1B-4CA4-8F55-6B1E9FF36ACB}
{B26E6120-DD35-4BEA-B1E3-E75F546EBF2A}
{926618A9-4035-4CD6-8240-64C58EB37B07}
{B95B52E9-B839-4412-96EB-4DABAB2E4E24}
{CB05A177-1069-4A7A-AB0A-5E6E00DCDB76}
{A233E654-53FF-43AA-B1E2-60DA2E89A1EC}
{6981B978-70D9-40B9-B00E-903B6FC8CA8A}
{C86EE68A-9C77-4441-BD35-14CC6CC4A189}
{2875E7A5-EE3C-4FE7-A23E-DE0529D12028}
{66E07EF9-4E89-4284-9632-6D6904B77732}
{00D46195-B634-4C41-B53B-5093527FB791}
{497EE41C-CE06-4DD4-8308-6C730713C646}
{7A12547F-B772-4F2D-BE36-CE5D0FA886A1}
{0B9C0C26-728C-4FDA-B8DD-59806E20E4D9}
{F399F5B6-3C63-4674-B0FF-E94328B1947D}
{8C7A23D9-2A9B-4AEA-BA91-3003A316B44D}
{E6127E3B-8D17-4BEA-A039-8BB9D0D105A2}
{A3796166-A03C-418A-AF3A-060115D4E478}
{73BCFD0F-0DAA-4B21-B709-2A8D9D9C692A}
{93C5524B-97AE-491E-8EB7-2A3AD964F926}
{833E62AD-1655-499F-908E-62DCA1EB2EC6}
{285CAE3C-F16A-4A84-9A80-FF23D6E56D68}
{AA13BD85-7EC0-4CC8-9958-1BB2AA32FD0B}
{4614C49A-0B7D-4E0D-A877-38CCCFE7D589}
{974E1D88-BADF-4C80-8594-A59039C992EA}
{692898BE-C7CC-4CB3-A45C-66508B7E2C33}
{F6A7FF1B-9951-4CBE-B197-EA554D6DF40D}
{038F6F55-C9F0-4601-8740-98EF1CA9DF9A}
{652623DC-2BB4-4C1C-ADFB-57A218F1A5EE}
{BA162249-F2C5-4851-8ADC-FC58CB424243}
{9275A865-754B-4EDF-B828-FED0F8D344FC}
{6C095616-6064-43ca-9180-CF1B6B6A0BE4}
{E1A26BBF-26C0-401d-B82B-5C4CC67457E0}
{A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98}
{5C6698D9-7BE4-4122-8EC5-291D84DBD4A0}
{E4C97925-C194-4551-8831-EABBD0280885}
{CC7DA087-B7F4-4829-B038-DA01DFB5D879}

HP から影響を受けるクラス識別子の一覧に Kill Bit を設定するようリクエストを受けました。次のクラス識別子はそのリクエストに関連するものです。詳細は HP の公開した (c01422264) および (c01439758) をご覧ください。

クラス識別子
{14C1B87C-3342-445F-9B5E-365FF330A3AC}
{60178279-6D62-43af-A336-77925651A4C6}
{DC4F9DA0-DB05-4BB0-8FB2-03A80FE98772}
{0C378864-D5C4-4D9C-854C-432E3BEC9CCB}
{93441C07-E57E-4086-B912-F323D741A9D8}
{CDAF9CEC-F3EC-4B22-ABA3-9726713560F8}
{CF6866F9-B67C-4B24-9957-F91E91E788DC}
{A95845D8-8463-4605-B5FB-4F8CFBAC5C47}
{B9C13CD0-5A97-4C6B-8A50-7638020E2462}
{C70D0641-DDE1-4FD7-A4D4-DA187B80741D}
{DE233AFF-8BD5-457E-B7F0-702DBEA5A828}
{AB049B11-607B-46C8-BBF7-F4D6AF301046}
{910E7ADE-7F75-402D-A4A6-BB1A82362FCA}
{42C68651-1700-4750-A81F-A1F5110E0F66}
{BF931895-AF82-467A-8819-917C6EE2D1F3}
{4774922A-8983-4ECC-94FD-7235F06F53A1}
{E12DA4F2-BDFB-4EAD-B12F-2725251FA6B0}
{C94188F6-0F9F-46B3-8B78-D71907BD8B77}
{6470DE80-1635-4B5D-93A3-3701CE148A79}
{17E67D4A-23A1-40D8-A049-EE34C0AF756A}
{AB237044-8A3B-42BB-9EE1-9BFA6721D9ED}
{784F2933-6BDD-4E5F-B1BA-A8D99B603649}

推奨するアクション

このアドバイザリに関連するマイクロソフト サポート技術情報を検討する

マイクロソフトはお客様がこの更新プログラムをインストールされることを推奨します。この更新プログラムに関する詳細を確認する場合は、マイクロソフト サポート技術情報 953839 をご覧ください。

回避策

回避策は、設定または構成の変更を示すもので、基本的な脆弱性を正すものではありませんが、更新プログラムの適用前に、既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうか「詳細」の欄で説明しています。

  • COM オブジェクトが Internet Explorer で実行されることを防ぐ

    コントロールの Kill Bit をレジストリで設定することにより、Internet Explorer で COM オブジェクトのインスタンス化の試行を無効にできます。

    警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要となる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

    コントロールが Internet Explorer で実行されないようにするためのステップの詳細は、サポート技術情報 240797 をご覧ください。このサポート技術情報に記載されているステップに従い、レジストリに互換性フラグの値を作成し、Internet Explorer で COM オブジェクトのインスタンスが作成されないようにしてください。

    注: よく寄せられる質問の「この更新プログラムはどのように脆弱性を排除しますか?
    」にクラス識別子および ActiveX オブジェクトが含まれている対応するファイルを記載しています。下記の {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} をこのセクションのクラス識別子と置き換えてください。

    CLSID の Kill Bit を {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} の値で設定するには、以下のテキストをメモ帳の様なテキスト エディターに貼り付けてください。次に、.reg ファイル名拡張子を使用してファイルを保存します。

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Compatibility Flags"=dword:00000400

    この .reg ファイルをダブルクリックすると、個々のコンピュータに適用できます。グループ ポリシーを使用し、ドメインに適用することもできます。グループ ポリシーの詳細については、次のマイクロソフトの Web サイトを参照してください。

注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

回避策の影響: Internet Explorer でオブジェクトを使用しない限り、影響はありません。

その他の情報

リソース:

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

  • 2008/08/13: このアドバイザリを公開しました。
  • 2008/08/14: このアドバイザリを更新し、HP のセキュリティ情報へのリンクを記載しました。
  • 2008/11/26: このアドバイザリを更新し、「よく寄せられる質問」のセクションを変更し、Windows Server 2008 Server Core インストールを使用している場合、この更新プログラムが提供されるものの、インストールは不要であることの説明を追加しました。
  • 2009/03/12: このアドバイザリを更新し、「よく寄せられる質問」に質問および回答を追加し、自動更新のためであり、この更新プログラムはマイクロソフト セキュリティ情報 MS08-032 で説明した ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (950760) に置き換わるものではないことを説明しました。

Built at 2014-04-18T13:49:36Z-07:00