マイクロソフト セキュリティ情報 MS15-039 - 重要
XML コア サービスの脆弱性により、セキュリティ機能のバイパスが起こる (3046482)
公開日:2015 年 4 月 15 日
バージョン: 1.0
概要
このセキュリティ更新プログラムにより、Microsoft Windows の脆弱性が解決されます。この脆弱性により、ユーザーが特別に細工されたファイルを開いた場合に、セキュリティ機能のバイパスが起こる可能性があります。しかし、すべての場合において、攻撃者には、特別に細工されたファイルをユーザーに強制的に開かせる手段はありません。通常は電子メールまたはインスタント メッセンジャーのメッセージの誘導により、ユーザーにファイルを開かせることが攻撃者にとっての必要条件となります。
Microsoft XML コア サービス 3.0 用のこのセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows 2008 R2 について、深刻度が「重要」に評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。
このセキュリティ更新プログラムは、Microsoft XML コア サービスがドキュメントの型宣言 (DTD) のシナリオで同一生成ポリシーを適用する方法を修正することで、この脆弱性を解決します。この脆弱性の詳細については、特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。
このドキュメントの詳細については、サポート技術情報 3046482 を参照してください。
影響を受けるソフトウェア
次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
| **オペレーティング システム** | **コンポーネント** | **最も深刻な脆弱性の影響** | **総合的な深刻度** | **置き換えられる更新プログラム** |
| **Windows Server 2003** | ||||
| [Windows Server 2003 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=fec9dcee-36a3-4238-adfe-4f9683158414) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=736957a8-8545-4bf0-86e4-787d04c72fd2) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2003 with SP2 for Itanium-based Systems](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ffaf5f9b-7bea-4b0b-9451-64ce9e05d6bd) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| **Windows Vista** | ||||
| [Windows Vista Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=bb8575fc-346c-478f-9d72-0676fbb4c20b) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=463571ea-11db-4788-a333-e6dccbc15cfe) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| **Windows Server 2008** | ||||
| [Windows Server 2008 for 32-bit Systems Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=1ab3a73e-d1c0-460e-bd54-5b4e414ddb3f) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2008 for x64-based Systems Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=fd8db53b-a17e-4848-9c03-396fe0be3b06) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2008 for Itanium-based Systems Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=bc89572d-d625-4c80-b819-5a7d7eb2c096) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| **Windows 7** | ||||
| [Windows 7 for 32-bit Systems Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d402b549-6b4a-414c-abe1-91d9ee872caa) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows 7 for x64-based Systems Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=0d7e8f13-22c2-4869-ab9b-55795e5e8e01) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| **Windows Server 2008 R2** | ||||
| [Windows Server 2008 R2 for x64-based Systems Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=3c1a9b4a-8891-4339-a145-b612ee6c6f05) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2008 R2 for Itanium-based Systems Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=e12daff3-d161-4145-9cee-ba1f82f489d9) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| **Server Core インストール オプション** | ||||
| [Windows Server 2008 for 32-bit Systems Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=1ab3a73e-d1c0-460e-bd54-5b4e414ddb3f) (Server Core インストール) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2008 for x64-based Systems Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=fd8db53b-a17e-4848-9c03-396fe0be3b06) (Server Core インストール) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
| [Windows Server 2008 R2 for x64-based Systems Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=3c1a9b4a-8891-4339-a145-b612ee6c6f05) (Server Core インストール) (3046482) | Microsoft XML コア サービス 3.0 | セキュリティ機能のバイパス | 重要 | [MS14-067](https://go.microsoft.com/fwlink/?linkid=513100) の 2993958 |
更新プログラムに関する FAQ
使用しているコンピューターにはどのバージョンの Microsoft XML コア サービスがインストールされているのですか?
一部のバージョンの Microsoft XML コア サービスは Microsoft Windows に含まれていますが、他のバージョンはマイクロソフトまたはサードパーティ プロバイダーが提供するオペレーティング システム以外のソフトウェアと共にインストールされます。個別にダウンロードできるバージョンもあります。次の表は、サポートされているリリースの Microsoft Windows、およびオペレーティング システムに含まれる Microsoft XML コア サービスのバージョン、およびその他のマイクロソフトまたはサードパーティ ソフトウェアをインストールする際にインストールされるバージョンを示しています。
| オペレーティング システム | MSXML 3.0 および MSXML 6.0 | MSXML 4.0 および MSXML 5.0 |
| Windows Server 2003 | MSXML 3.0 はオペレーティング システムに同梱される。MSXML 6.0 はその他のソフトウェアと共にインストールされる。 | その他のソフトウェアと共にインストールされる |
| Windows Vista | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows Server 2008 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows 7 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows Server 2008 R2 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows 8 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows Server 2012 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows RT | オペレーティング システムに同梱 | MSXML 4.0 はその他のソフトウェアと共にインストールされる。MSXML 5.0 は対象外。 |
| Windows 8.1 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows Server 2012 R2 | オペレーティング システムに同梱 | その他のソフトウェアと共にインストールされる |
| Windows RT 8.1 | オペレーティング システムに同梱 | MSXML 4.0 はその他のソフトウェアと共にインストールされる。MSXML 5.0 は対象外。 |
MSXML 3.0 は Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 に同梱されていますが、これらのオペレーティング システムには、このセキュリティ情報に記載されている脆弱性を解決する修正内容が既に含まれています。
深刻度および脆弱性識別番号
次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、4 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。
| **影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響** | ||
| **影響を受けるソフトウェア** | [**MSXML3 の同一生成ポリシー SFB の脆弱性 - CVE-2015-1646**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1646) | **総合的な深刻度** |
| **Windows Server 2003** | ||
| Windows Server 2003 Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2003 x64 Edition Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2003 with SP2 for Itanium-based Systems (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| **Windows Vista** | ||
| Windows Vista Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Vista x64 Edition Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| **Windows Server 2008** | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2008 for x64-based Systems Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| **Windows 7** | ||
| Windows 7 for 32-bit Systems Service Pack 1 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows 7 for x64-based Systems Service Pack 1 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| **Windows Server 2008 R2** | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| **Server Core インストール オプション** | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール) (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール) (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) (3046482) | **重要** セキュリティ機能のバイパス | **重要** |
脆弱性の情報
MSXML3 の同一生成ポリシー SFB の脆弱性 - CVE-2015-1646
同一生成ポリシーのセキュリティ機能のバイパスの脆弱性が Microsoft XML コア サービス (MSXML) に存在し、ドキュメントの型宣言 (DTD) のシナリオでクロスドメイン データ アクセスが生じる可能性があります。攻撃者がこの脆弱性を悪用した場合、ユーザー名やパスワードなどのユーザーの機密情報にアクセスする可能性があります。
電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。Web ベースの攻撃のシナリオで、攻撃者はこの脆弱性の悪用を意図したファイルを含む Web サイトをホストする可能性があります。しかし、すべての場合において、攻撃者には、特別に細工されたファイルをユーザーに強制的に開かせる手段はありません。通常は電子メールまたはインスタント メッセンジャーのメッセージの誘導により、ユーザーにファイルを開かせることが攻撃者にとっての必要条件となります。
この更新プログラムは、Microsoft XML コア サービスが DTD のシナリオで同一生成ポリシーを適用する方法を修正することで、この脆弱性を解決します。
マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。
問題を緩和する要素
マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。
回避策
マイクロソフトは、この脆弱性の回避策を確認していません。
セキュリティ更新プログラムの展開
セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているサポート技術情報を参照してください。
謝辞
マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。
免責
マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2015/04/15):このセキュリティ情報ページを公開しました。
Page generated 2015-04-08 12:16Z-07:00.