マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される セキュリティ TechCenter ホーム セキュリティ情報 ツール 日本 (日本語) Bing で TechNet を検索 ライブラリ セキュリティを理解する ダウンロード サインイン サポート Security TechCenter > セキュリティ アドバイザリ > マイクロソフト セキュリティ アドバイザリ (2794220) マイクロソフト セキュリティ アドバイザリ (2794220) Internet Explorer の脆弱性により、リモートでコードが実行される 公開日: 2013年1月7日 | 最終更新日: 2013年1月7日 バージョン: 1.1 概説 概要 マイクロソフトは、Internet Explorer 6、Internet Explorer 7、および Internet Explorer 8 に存在する脆弱性についての公開された報告を調査しています。Internet Explorer 9 および Internet Explorer 10 はこの脆弱性の影響を受けません。マイクロソフトは、Internet Explorer 8 を通じてこの脆弱性を悪用しようとする標的型攻撃を確認しました。Microsoft Fix it ソリューショ ン「MSHTML Shim 回避策」を適用すると、この問題の悪用が阻止されます。詳細情報は、「推奨するアクション」を参照してください。 この脆弱性はリモートでコードが実行される脆弱性であり、削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスすること によって存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性があります。攻撃者 は、Internet Explorer を介してこの脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。 この調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース プロセ ス、またはお客様のニーズにより、定例外のセキュリティ更新プログラムを提供する場合があります。 マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) で積極的にパート ナーと協力しています。さらに、積極的にパートナーと協力しながら、脅威全体を監視して、この脆弱性を悪用しようとする悪質なサイトに対して措置を講じます。MAPP パート ナーにより公開される保護策に関する情報は、MAPP Partners with Updated Protections (英語情報) を参照してください。 マイクロソフトは引き続き、Microsoft セーフティとセキュリティ センターのガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウ イルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。 問題を緩和する要素: 既定で、Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行さ れます。このモードは、この脆弱性の影響を緩和します。 既定で、すべてのサポートされているバージョンの Microsoft Outlook、Microsoft Outlook Express および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはスクリプトおよび ActiveX コントロールを無効にし、この脆弱性を悪用して悪意のあるコードを実行しようとする攻撃のリスクを排 除するのに役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃のシナリオで悪用された脆弱性の影響を受ける可能性がありま す。 この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユー ザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 Web ベースの攻撃のシナリオで、攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよ びユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性が あります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。そのかわり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問さ せることが攻撃者にとっての必要条件となります。 推奨する対応策: 詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。 セクションのトップ アドバイザリの詳細 問題に関する参照情報 この問題に関する詳細情報は、次の参照情報をご確認ください。 参照情報 ID CVE 参照情報 CVE-2012-4792 マイクロソフト サポート技術情報 マイクロソフト サポート技術情報 2794220 セクションのトップ 影響を受けるソフトウェアおよび影響を受けないソフトウェア このアドバイザリは次のソフトウェアについて説明しています。 影響を受けるソフトウェア オペレーティング システム コンポーネント Internet Explorer 6 Windows XP Service Pack 3 http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] Internet Explorer 6 マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 6 Windows Server 2003 Service Pack 2 Internet Explorer 6 Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 6 Windows Server 2003 with SP2 for Itanium-based Systems Internet Explorer 6 Internet Explorer 7 Windows XP Service Pack 3 Internet Explorer 7 Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 7 Windows Server 2003 Service Pack 2 Internet Explorer 7 Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 7 Windows Server 2003 with SP2 for Itanium-based Systems Internet Explorer 7 Windows Vista Service Pack 2 Internet Explorer 7 Windows Vista x64 Edition Service Pack 2 Internet Explorer 7 Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 7 Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 7 Windows Server 2008 for Itanium-based Systems Service Pack 2 Internet Explorer 7 Internet Explorer 8 Windows XP Service Pack 3 Internet Explorer 8 Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 8 Windows Server 2003 Service Pack 2 Internet Explorer 8 Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 8 Windows Vista Service Pack 2 Internet Explorer 8 Windows Vista x64 Edition Service Pack 2 Internet Explorer 8 Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 8 Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 8 Windows 7 for 32-bit Systems Internet Explorer 8 Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 8 Windows 7 for x64-based Systems Internet Explorer 8 Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 8 Windows Server 2008 R2 for x64-based Systems Internet Explorer 8 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 8 Windows Server 2008 R2 for Itanium-based Systems Internet Explorer 8 Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 Internet Explorer 8 影響を受けないソフトウェア オペレーティング システム コンポーネント Internet Explorer 9 Windows Vista Service Pack 2 Internet Explorer 9 Windows Vista x64 Edition Service Pack 2 Internet Explorer 9 Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 9 Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 9 Windows 7 for 32-bit Systems Internet Explorer 9 Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 9 Windows 7 for x64-based Systems Internet Explorer 9 Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 9 Windows Server 2008 R2 for x64-based Systems Internet Explorer 9 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 9 Internet Explorer 10 Windows 8 for 32-bit Systems Internet Explorer 10 Windows 8 for 64-bit Systems Internet Explorer 10 Windows Server 2012 Internet Explorer 10 Windows RT Internet Explorer 10 http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される Server Core インストール Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール) 対象外 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール) 対象外 Windows Server 2008 R2 for x64-based Systems (Server Core インストール) 対象外 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) 対象外 Windows Server 2012 (Server Core インストール) 対象外 セクションのトップ よく寄せられる質問 このアドバイザリの目的は何ですか? マイクロソフトは、Internet Explorer に影響を及ぼす新しい脆弱性を確認しています。 これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか? この調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース プ ロセス、またはお客様のニーズにより、定例外のセキュリティ更新プログラムを提供する場合があります。 この脆弱性により、攻撃者は何を行う可能性がありますか? この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている時に、攻撃者 によりこの脆弱性が悪用された場合、影響を受けるコンピューターが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、 削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 攻撃者はこの脆弱性をどのように悪用する可能性がありますか? 攻撃者は、Internet Explorer を介してこの脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。 また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れるまたはホストする Web サイトを利用する可能性があります。これらの Web サイ トには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御する コンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセー ジまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開か せようとします。 Windows Server 2003、Windows Server 2008 または Windows Server 2008 R2 用の Internet Explorer を実行している場合、この脆弱性の影響は緩和されますか? はい。既定で、Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実 行されます。セキュリティ強化の構成は、Internet Explorer で事前に設定され、ユーザーまたは管理者が特別に細工された Web コンテンツをサーバーにダウンロードし、実行する 危険性を低減します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」に該当します。 Enhanced Mitigation Experience Toolkit v3.0 (EMET) とは何ですか? Enhanced Mitigation Experience Toolkit (EMET) は、ソフトウェアの脆弱性が悪用されるのを防ぐのに役立つユーティリティです。EMET はセキュリティの緩和技術を使用してこれを 可能にします。これらの技術は特別な保護および防御として機能するため、悪意のあるユーザーがソフトウェアの脆弱性を悪用するには、これらを破る必要があります。これらの セキュリティの緩和技術は、脆弱性が悪用されないことを保証するものではありませんが、可能な限り悪用を困難にします。多くの場合、EMET を回避するような、完全に機能す る悪用が開発されることはないと考えられます。詳細については、サポート技術情報 2458544 を参照してください。 EMET はこの脆弱性を悪用しようとする攻撃の緩和に役立ちますか? はい。Enhanced Mitigation Experience Toolkit (EMET) は、脆弱性の悪用を困難にする保護レイヤーを追加することによって、この脆弱性の悪用を防止するために役立ちます。EMET は、最新のセキュリティ強化テクノロジを適用することによってソフトウェアの脆弱性の悪用によるコード実行を防ぐために役立つユーティリティです。現時点では、EMET に対 するサポートは限定されており、英語のみでご利用可能です。詳細については、サポート技術情報 2458544 を参照してください。 セクションのトップ 推奨するアクション 回避策を適用してください。 回避策は、根本的な問題を正すものではありませんが、セキュリティ更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を示します。詳細 は次の「回避策」を参照してください。 回避策 この問題の悪用を阻止する Microsoft Fix it ソリューション「MSHTML Shim 回避策」を適用してください。 自動化された Microsoft Fix it ソリューションを使用してこの回避策を有効または無効にする方法については、サポート技術情報 2794220 を参照してください。 Enhanced Mitigation Experience Toolkit を使用する Enhanced Mitigation Experience Toolkit (EMET) は、脆弱性の悪用を困難にする保護レイヤーを追加することによって、この脆弱性の悪用を防止するために役立ちます。 現時点では、EMET に対するサポートは限定されており、英語のみでご利用可能です。詳細については、サポート技術情報 2458544 を参照してください。 EMET の構成に関する詳細情報は、EMET ユーザー ガイドをご参照ください。 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。 EMET のユーザー インターフェイスで Internet Explorer に対し EMET を構成する EMET を使用するアプリケーションのリストに Iexplore.exe を追加するには、次のステップを実行します。 1. [スタート]をクリックし、[すべてのプログラム] - [Enhanced Mitigation Experience Toolkit] – [EMET 3.0] をクリックします。 2. UAC のポップアップが出たら [Yes]をクリックし、[Configure Apps] をクリックして [Add] を選択します。EMET で構成するアプリケーションを参照します。 3. 64 ビット版の Microsoft Windows 上では、Internet Explorer の 32 ビット版および x64 版をインストールするパスは次のとおりです。 C:\Program Files (x86)\Internet Explorer\iexplore.exe http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される C:\Program Files\Internet Explorer\iexplore.exe 32 ビット版の Microsoft Windows 上では、Internet Explorer のパスは、 C:\Program Files\Internet Explorer\iexplore.exe 4. [OK] をクリックし、EMET を終了します。 コマンド ラインで Internet Explorer に対し EMET を構成する すべての EMET 3.0 緩和策に対して Internet Explorer を選択する 64 ビット版のシステム上の、32 ビット版の IE のインストールでは、昇格されたコマンド プロンプトで次を実行します。 "c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files (x86)\Internet Explorer\iexplore.exe" そして、64 ビット版のシステム上で、x64 ビット版の IE をインストールするには、昇格されたコマンド プロンプトで次を実行します。 "c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe" 32 ビット版のシステム上で、32 ビット版の IE をインストールするには、昇格されたコマンド プロンプトで次を実行します。 "c:\Program Files\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe" 成功した場合、次のメッセージが表示されます。 "The changes you have made may require restarting one or more applications"( 追加された変更により、 1 つ以上のアプリケーションの再起動が必要な可能性があります ) アプリケーションが既に EMET に追加されている場合、次のメッセージが表示されます。 "Error: You do not have the correct version of Internet Explorer running for this update to be installed." ( この更新プログラムをインストールするための正しいバージョンの Internet Explorer ) "c:\Program Files (x86)\Internet Explorer\iexplore.exe" は エラー : がインストールされていません。 "C:\Program Files (x86)\Internet Explorer\iexplore.exe" に対する既存のエントリと競合しています。 EMET_Conf.exe の作動に関する詳細情報は、次のコマンド プロンプトを作動し、コマンドライン ヘルプをご参照ください。 32 ビット版上 "C:\Program Files\EMET\EMET_Conf.exe" /? 64 ビット版上 "C:\Program Files (x86)\EMET\EMET_Conf.exe" /? グループ ポリシーを利用して、Internet Explorer 用の EMET を 構成する EMET はグループ ポリシーを利用して構成することが可能です。グループ ポリシーを利用して EMET を構成する詳細情報は、EMET ユーザー ガイドをご参照ください。 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。 注: グループ ポリシーに関する詳細情報は、「Group Policy collection」をご参照ください。 インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブ ロックする インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、この脆弱性の悪用を防ぐのに役立ちま す。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。 Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。 1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。 2. [インターネット オプション]ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] をクリックします。 3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが 「高」に設定されます。 4. [ローカル イントラネット]をクリックします。 5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが 「高」に設定されます。 6. [OK]をクリックし、変更を許可し、Internet Explorer に戻ります。 注: スライダーが表示されていない場合、[既定のレベル]ボタンをクリックし、次にスライダーを「高」に移動させます。 http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される 注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全 だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。 回避策の影響: ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイト は ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コン トロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定で あり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロック したくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。 信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックするように設定後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。 これを行うためには、次のステップを実行します。 1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。 2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。 3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをク リックして、チェックを外します。 4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。 5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。 6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。 注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが 必要です。 インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリ プトを無効にするよう構成する インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアク ティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性の悪用を防ぐ手助けを行うことができます。これを行うためには、次のステップを実行しま す。 1. Internet Explorer の [ツール] メニューで [インターネット オプション] をクリックします。 2. [セキュリティ] タブをクリックします。 3. [インターネット] をクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。 4. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。 5. [ローカル イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。 6. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。 7. [OK] を 2 回クリックし、Internet Explorer に戻ります。 注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定 の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは 正しく動作するようになります。 回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティ ブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはオンライン バンキング サイトにはアクティブ スクリプトを使用し て、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのイン ターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。ダイアログが表示されるたびに、アクセスしてい る Web サイトが信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない 場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。 信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、 信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく 同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。 これを行うためには、次のステップを実行します。 1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。 2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。 3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをク リックして、チェックを外します。 4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。 5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。 6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。 注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが 必要です。 http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される セクションのトップ 追加の推奨されるアクション サードパーティ ソフトウェアを最新状態に維持する 現在 Internet Explorer でのこの種類の脆弱性の悪用には、Oracle の Java などのサードパーティのソフトウェアが悪用されています。 Java を最新の状態に保つことに関する詳細情報については、以下をご覧ください。 Java のバージョンの確認 Windows 用 Java の推奨バージョンのインストール Java Update とは 旧バージョンの Java をシステムから削除しなければならないのはなぜですか。 コンピューターを守る マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフト ウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。 マイクロソフトのソフトウェアを最新の状態に保つ マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能 な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかど うかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新 プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインス トールされているかどうかをご確認いただく必要があります。 セクションのトップ セクションのトップ 関連情報 Microsoft Active Protections Program (MAPP) お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバ イダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの 侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。 セクションのトップ フィードバック フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。 セクションのトップ サポート セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細 については、Microsoft サポートを参照してください。 その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。 Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。 セクションのトップ 免責 この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明 示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、い かなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味する ものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失 利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めて いない地域においては、上記制限が適用されない場合があります。 セクションのトップ 更新履歴 V1.0 (2013/1/7):アドバイザリを公開しました。 V1.1 (2013/1/7):この問題の悪用を阻止する Microsoft Fix it ソリューション「MSHTML Shim 回避策」へのリンクを追加しました。 セクションのトップ ページのトップ http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] マイクロソフト セキュリティ アドバイザリ (2794220): Internet Explorer の脆弱性により、リモートでコードが実行される プロファイル (個人情報) の管理 特定商取引法に基づく表示 お問い合わせ先 TechNet の情報を無料ニュースレターで入手 http://technet.microsoft.com/ja-jp/security/advisory/2794220[2013/01/08 17:25:04] 日本での個人情報の取り扱い サイトマップ 使用条件 商標 プライバシー © 2012 Microsoft
© Copyright 2025 Paperzz
