[MS02-069] Microsoft VM の問題により システムが侵害される

文書翻訳 文書翻訳
文書番号: 810030
すべて展開する | すべて折りたたむ

目次

現象

Microsoft 仮想マシン (Microsoft VM) は、Win32 運用環境のための仮想マシンです。Microsoft VM は Windows と Microsoft Internet Explorer のほとんどのバージョンに含まれています。

Microsoft VM の新しいバージョンが入手可能となり、それには新たに報告された 8 つのセキュリティ問題に対する修正プログラムおよび以前リリースされた Microsoft VM のすべての修正プログラムが含まれています。新しい問題に対する攻撃方法は、すべてほとんど同じです。攻撃者は、ユーザーがページを開くと特定の脆弱性を悪用するように Web サイトを作成して、Web サイトをホストするか、 HTML 形式の電子メール メッセージとしてユーザーに送ります。

新しく報告されたセキュリティ問題は次のものです。
  • 信頼されない Java アプレットが COM (Component Object Model) オブジェクトにアクセス可能なことによるセキュリティ上の脆弱性

    COM オブジェクトは、仕様上その機能が公開されるものであるため、COM オブジェクトは信頼される Java プログラムでのみ利用可能である必要があります。一部の COM オブジェクトは攻撃者がシステムを制御できる可能性のある機能を提供しています。
  • アプレットのコードベース属性が示す実際の場所を偽装できる 2 つの脆弱性

    各脆弱性の原因は異なりますが、これらの脆弱性により同じ影響を受ける可能性があります。仕様により、ユーザーの記憶装置やネットワーク共有上に存在する Java アプレットは、自分が存在するフォルダとその下のフォルダすべてに対して読み取りアクセス権を持っています。Web サイトに存在するアプレットが、これらの脆弱性を利用してコードベース属性でその場所を詐称する可能性があります。つまり、アプレットが実際の場所ではなく、ユーザーのローカル システムやネットワーク共有に存在しているように見せます。
  • 攻撃者が特定の URL を作り上げ、URL が解析されたとき、ある Web サイトから Java アプレットを読み込んで、そのアプレットが別の Web サイトに存在するように詐称できる脆弱性

    この脆弱性により、攻撃者のアプレットは別のサイトのドメインで実行可能になります。ユーザーがこのアプレットに提供する情報は、すべて攻撃者に中継して返すことができます。
  • アプレットによりデータベースの内容が変更できる脆弱性

    この脆弱性は、Microsoft VM がデータベースへのアクセス手段を提供する一連の JDBC API を、アプレットから呼び出せないようになっていないために発生します。仕様では、これらの API はデータベースの内容の追加、変更、削除、および変更する機能を提供しますが、これらはユーザーのアクセス許可のみで可能です。
  • 攻撃者が指定した Java オブジェクトの呼び込みや実行を一時的に防止できることによる脆弱性

    以前のセキュリティ メカニズムである、標準セキュリティ マネージャは、ユーザーが Java アプレットの実行を完全に阻止するなど、Java アプレットを制限することができます。しかし、Microsoft VM は 標準セキュリティ マネージャへのアクセスを適切に制御しないため、攻撃者のアプレットが他の Java オブジェクトを "禁止リスト" に追加することができます。
  • 攻撃者がローカル コンピュータ上のユーザーのユーザー名を知ることができる脆弱性

    この脆弱性は、user.dir システム プロパティが信頼されないアプレットから取得可能なことが原因で起こります。攻撃者にユーザー名が知られること自体で、セキュリティが損なわれるわけではありませんが、偵察目的には役立つ可能性があります。
  • Java アプレットが別の Java オブジェクトのインスタンス化を不完全に行うことがあることが原因で発生する脆弱性

    この問題により、コンテナ プログラム (Internet Explorer) が異常終了します。
この問題を解決するには、"810030: Microsoft VM Security Update" パッケージをインストールします。この更新により、使用中の Microsoft VM はバージョン 5.00.3809 へアップグレードされます。5.00.3809 より前の Microsoft VM のすべてのバージョンは、この資料の「現象」に記載されている脆弱性の影響を受けます。

更新を入手するには

更新を入手するには、次の Microsoft Windows Update Web サイトの 「重要な更新」を参照してください。
http://update.microsoft.com


管理者はこの更新を次のサイトからダウンロードして、Microsoft VM をインストール済みの複数のコンピュータに展開することができます。Windows Update カタログこの更新を後で 1 台以上のコンピュータにインストールするために入手する必要がある場合は、Windows Update カタログの [検索オプションの詳細設定] を使用して、この資料の文書番号を検索します。 Windows Update カタログからの更新のダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323166 [HOWTO] Windows Update カタログから Windows の更新およびドライバをダウンロードする
Windows 2000 バージョンの Microsoft VM の更新をインストールするには、コンピュータに Windows 2000 Service Pack 2 またはそれ以降がインストールされている必要があります。他のオペレーティング システムにこの更新をインストールすることはできません。Windows Update カタログ から Windows 2000 にこの更新をダウンロードするには、Windows Update カタログへアクセスし、オペレーティング システムから Windows 2000 SP2 または Windows 2000 SP3 を選択してください。

Microsoft Windows XP、Windows NT 4.0、Windows Millennium Edition (Me)、Windows 98 Second Edition、および Windows 98 用のこの更新をダウンロードするには、使用中のオペレーティング システムの項目 Windows XP family、Windows Millennium Edition、または Windows 98 を選択します。

Windows NT 4.0 ベースのコンピュータでは、Windows Update カタログへアクセスできません。Windows NT 4.0 パッケージをダウンロードし、複数のコンピュータにインストールするか後でインストールする必要がある場合は、Windows 98、Windows Millennium Edition、Windows 2000、Windows XP、または Windows .NET Server 2003 を実行しているコンピュータを使用して Windows Update カタログへアクセスし、オペレーティング システムから Windows 98、Windows Millennium Edition、または Windows XP を選択します。このセキュリティ更新は、Windows NT 4.0 コンピュータ上にインストールすることもできます。Windows Update カタログにアクセスするために、Windows XP、Windows 98、Windows Millennium Edition、Windows 2000、または Windows .NET Server 2003 ベースのコンピュータを利用できない管理者は、マイクロソフト製品サポート サービスに問い合わせて修正プログラムを入手してください。電話番号一覧およびサポート料金については、次の Web ページを参照してください。
http://support.microsoft.com/default.as px?scid=fh;JA;CNTACTMS

インストール情報

この更新は以前のバージョンの Microsoft VM がインストールされているコンピュータにのみインストールすることができます。 コンピュータを再起動せず Microsoft VM をサイレント インストールする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
304930 コンピュータを再起動せずに Microsoft 仮想マシンをサイレント インストールする方法

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付        時刻    バージョン    サイズ      ファイル名
   --------------------------------------------- 
   2002/03/20  06:52                 2,678  Classes.cer
   2002/11/18  09:07             5,751,849  Classes.zip
   2002/11/19  14:46  5.0.3809.0   404,752  Javart.dll
   2002/11/18  09:09  5.0.3809.0   172,304  Jview.exe        
   2002/11/19  14:46  5.0.3809.0   947,984  Msjava.dll
   2002/03/20  06:52                 2,678  Msjdbc.cer
   2002/11/18  09:07               137,482  Msjdbc.zip
   2001/05/28  19:58                10,957  Osp.zip
更新された VM をインストール後、すべての .zip ファイルは別の名前になります。これは通常の動作であり無視できます。また、Zip パッケージ内の一部のファイルはこのリリースのために変更されています。しかし、これらのファイルを別々にパッケージすることはできません。

状況

マイクロソフトでは、この問題により Microsoft VM のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

詳細

Windows 98、Windows 98 Second Edition (SE)、または Windows Me (Millennium Edition) を実行しているコンピュータで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに command と入力し、[OK] をクリックします。
  3. コマンド プロンプトで、jview と入力し、Enter キーを押します。バージョン番号は、1 行目に "Version n.nn.nnnn" のように表示されます。ここで、最後の4 桁の数字 nnnn がビルド番号です。たとえば、5.00.3809 は Microsoft VM ビルド 3809 を示します。
Windows NT 4.0、Windows 2000、または Windows XP を実行しているコンピュータで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスで cmd と入力し、[OK] をクリックします。
  3. コマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。
    jview
    バージョン情報は 1 行目に "Versionn.nn.nnnn" のように表示されます。ここで、最後の 4 桁の数字 nnnn がビルド番号です。たとえば 5.00.3809 は、Microsoft VM ビルド 3809 を示します。
この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS02-069.mspx

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 810030 (最終更新日 2003-02-27) をもとに作成したものです。

プロパティ

文書番号: 810030 - 最終更新日: 2011年2月3日 - リビジョン: 6.6
キーワード:?
kbdownload kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com