[MS03-023] HTML コンバータのバッファ オーバーランにより、コードが実行される

文書翻訳 文書翻訳
文書番号: 823559
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Windows のすべてのバージョンで、オペレーティング システム内にファイル変換のサポートが含まれています。この機能により、Microsoft Windows のユーザーは、あるファイル形式を別のファイル形式に変換できます。特に、Microsoft Windows オペレーティング システムには HTML 変換のサポートが含まれています。この機能により、ユーザーはファイルを HTML として表示、インポート、保存することができます。

Microsoft Windows の HTML コンバータが切り取りと貼り付けの操作中に変換要求を処理する方法に問題が存在します。脆弱性が存在するのは、HTML コンバータへの特殊な要求によってコンバータで問題が発生し、現在ログオン中のユーザーのコンテキストでコードが実行される可能性があるためです。この機能は Microsoft Internet Explorer によって使用されるため、攻撃者は、ユーザーのコンピュータの HTML コンバータに任意のコードを実行させる、特殊な Web ページまたは HTML 電子メールを作成する可能性があります。ユーザーが攻撃者の Web サイトにアクセスすると、ユーザーがこの他に操作を実行しなくても、攻撃者によりこの脆弱性が悪用される可能性があります。

攻撃者がこの脆弱性を悪用するには、特殊な HTML 電子メールを作成して、それをユーザーに送信する必要があります。または、この脆弱性を悪用するように設計された Web ページを含む悪質な Web サイトをホストし、そのサイトにアクセスするようにユーザーを誘導する必要があります。

Outlook Express 6.0 および Outlook 2002 では、デフォルトで HTML メールを制限付きサイト ゾーンで開きます。また、Outlook 電子メール セキュリティ更新プログラムが適用された Outlook 98 および Outlook 2000 でも、HTML メールを制限付きサイト ゾーンで開きます。これらの製品を使用しているユーザーは、この脆弱性を自動的に悪用する、電子メール経由の攻撃を受ける危険性はありません。攻撃者は、ユーザーを悪質な Web サイトに強制的にアクセスさせることはできず、ユーザーをその Web サイトに誘導する必要があります。通常、このような誘導は、攻撃者のサイトに接続するリンクをユーザーにクリックさせることによって行われます。

解決方法

セキュリティ更新プログラムの情報

この脆弱性を解決する方法の詳細については、以下の、使用中のオペレーティング システムに対応するリンクをクリックしてください。

Windows Server 2003 (すべてのバージョン)

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

Windows Server 2003 (32 ビット版)
元に戻す画像を拡大する
ダウンロード
823559 パッケージ
Windows Server 2003 (64 ビット Itanium 版)
元に戻す画像を拡大する
ダウンロード
823559 パッケージ

リリース日 : 2003 年 7 月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムには、Windows Server 2003 の製品版が必要です。

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /n : アンインストールするためのファイルのバックアップを作成しません。
  • /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
この更新プログラムがインストール済みであることを確認するには、次のレジストリ キーが存在することを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823559

展開方法に関する情報

更新プログラムをインストールするときにユーザーによる操作を省略するには、次のコマンド ラインを実行します。
WindowsServer2003-KB823559-x86-JPN /u /q
更新プログラムのインストール後にコンピュータを再起動しないようにするには、次のコマンド ラインを実行します。
WindowsServer2003-KB823559-x86-JPN /z
: 1 つのコマンド ラインで複数のスイッチを組み合わせて実行できます。

Software Update Services を使用してこの更新プログラムを展開する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要はありません。

アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] を使用します。

システム管理者は Spuninst.exe ユーティリティを使用してこの更新プログラムを削除できます。Spuninst.exe は %Windir%\$NTUninstallkbNumber$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

   日付           時刻    バージョン            サイズ     ファイル名    プラットフォーム
   --------------------------------------------------------------------
   2003/06/27  14:13  2003.1100.5426.0   311,864  Whtml32.cnv    IA-64
   2003/06/27  14:16  2003.1100.5426.0   116,288  Wmsconv97.dll  IA-64
   2003/06/27  14:13  2003.1100.5426.0   311,864  Html32.cnv       x86
   2003/06/27  14:16  2003.1100.5426.0   116,288  Msconv97.dll     x86

Windows XP (すべてのバージョン)

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
Windows XP Professional および Windows XP Home Edition
元に戻す画像を拡大する
ダウンロード
823559 パッケージ
Windows XP 64-bit Edition
元に戻す画像を拡大する
ダウンロード
823559 パッケージ

リリース日 : 2003 年 7 月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムをインストールするには、製品版の Windows XP または Windows XP Service Pack 1 (SP1) を実行している必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /n : アンインストールするためのファイルのバックアップを作成しません。
  • /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
この更新プログラムがインストール済みであることを確認するには、次のレジストリ キーが存在することを確認します。

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823559
Windows XP Service Pack 1 (SP1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823559

展開方法に関する情報

更新プログラムをインストールするときにユーザーによる操作を省略するには、次のコマンド ラインを実行します。
WindowsXP-KB823559-x86-JPN /u /q
更新プログラムのインストール後にコンピュータを再起動しないようにするには、次のコマンド ラインを実行します。
WindowsXP-KB823559-x86-JPN /z
: 1 つのコマンド ラインで複数のスイッチを組み合わせて実行できます。

Software Update Services を使用してこの更新プログラムを展開する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要はありません。

アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] を使用します。

システム管理者は Spuninst.exe ユーティリティを使用してこの更新プログラムを削除できます。Spuninst.exe は %Windir%\$NTUninstallkbNumber$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

   日付           時刻    バージョン            サイズ     ファイル名      プラットフォーム
   --------------------------------------------------------------------
   2003/06/27  12:38  2003.1100.5426.0   311,864  Whtml32.cnv    IA-64
   2003/06/27  12:38  2003.1100.5426.0   116,288  Wmsconv97.dll  IA-64
   2003/06/27  12:38  2003.1100.5426.0   311,864  Html32.cnv       x86
   2003/06/27  12:38  2003.1100.5426.0   116,288  Msconv97.dll     x86

Windows 2000

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。


元に戻す画像を拡大する
ダウンロード
823559 パッケージ (PC-AT 互換機)

元に戻す画像を拡大する
ダウンロード
823559 パッケージ (NEC PC-9800 シリーズ)

リリース日 : 2003 年 7 月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムをインストールするには、Windows 2000 Service Pack 2 (SP2)、Windows 2000 Service Pack 3 (SP3)、または Windows 2000 Service Pack 4 (SP4) が必要です。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /n : アンインストールするためのファイルのバックアップを作成しません。
  • /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
この更新プログラムがインストール済みであることを確認するには、次のレジストリ キーが存在することを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823559

展開方法に関する情報

更新プログラムをインストールするときにユーザーによる操作を省略するには、次のコマンド ラインを実行します。
Windows2000-KB823559-x86-JPN /u /q
更新プログラムのインストール後にコンピュータを再起動しないようにするには、次のコマンド ラインを実行します。
Windows2000-KB823559-x86-JPN /z
: 1 つのコマンド ラインで複数のスイッチを組み合わせて実行できます。

Software Update Services を使用してこの更新プログラムを展開する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要はありません。

アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [アプリケーションの追加と削除] を使用します。

システム管理者は Spuninst.exe ユーティリティを使用してこの更新プログラムを削除できます。Spuninst.exe は %Windir%\$NTUninstallkbNumber$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : Quiet モードで実行します (ユーザー入力を必要としません)。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

   日付           時刻    バージョン           サイズ     ファイル名      プラットフォーム
   ----------------------------------------------------------------------------
   2003/06/27  11:22  2003.1100.5426.0  311,864  html32.cnv     PC-AT
   2003/06/27  11:22  2003.1100.5426.0  116,288  msconv97.dll   PC-AT
   2003/06/27  11:22  2003.1100.5426.0  311,864  html32.cnv     NEC PC-9800
   2003/06/27  11:22  2003.1100.5426.0  116,288  msconv97.dll   NEC PC-9800

Windows NT 4.0 (すべてのバージョン)

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
Windows NT 4.0
元に戻す画像を拡大する
ダウンロード
823559 パッケージ
Windows NT 4.0 Server Terminal Server Edition
元に戻す画像を拡大する
ダウンロード
823559 パッケージ

リリース日 : 2003 年 7 月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムをインストールするには Windows NT 4.0 Service Pack 6a (SP6a) または Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6) を実行している必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
152734 Windows NT 4.0 の最新の Service Pack を入手する方法

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q : 非表示モードでファイルを展開します (展開中にメッセージを一部表示しません)。
  • /q:u : ユーザー非表示モード (ユーザーにいくつかのダイアログ ボックスを表示します)。
  • /q:a : 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t: path : ファイルの展開先フォルダを指定します。
  • /c : インストールせずにファイルの展開のみを行います。/t: path を指定していない場合は、展開先のフォルダの入力を求められます。
  • /c: path : セットアップの .inf ファイルまたは .exe ファイルのパスと名前を指定します。
  • /r:n : インストール完了後にコンピュータを再起動しません。
  • /r:i : 再起動が必要な場合に、ユーザーにコンピュータの再起動を求めるメッセージを表示します (/q:a を使用している場合は除きます)。
  • /r:a : インストール完了後にコンピュータを必ず再起動します。
  • /r:s : インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。

展開方法に関する情報

更新プログラムをインストールするときにユーザーによる操作を省略するには、次のコマンド ラインを実行します。
Windows-KB823559-JPN /q:a
更新プログラムのインストール後にコンピュータを再起動しないようにするには、次のコマンド ラインを実行します。
Windows-KB823559-JPN /r:n
: 1 つのコマンド ラインで複数のスイッチを組み合わせて実行できます。

Software Update Services を使用してこの更新プログラムを展開する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要はありません。

アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [アプリケーションの追加と削除] を使用します。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

   日付           時刻    バージョン           サイズ     ファイル名
   ---------------------------------------------------------
   2003/06/26  22:19  2003.1100.5426.0  311,864  Html32.cnv
   2003/06/26  22:19  2003.1100.5426.0  116,288  Msconv97.dll

Windows Millennium Edition、Windows 98 Second Edition、Windows 98

ダウンロード情報

この問題を解決するには、Microsoft Windows Update Web サイトから 823559 パッケージをインストールします。 下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

元に戻す画像を拡大する
ダウンロード
823559 パッケージ

リリース日 : 2003 年 7 月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。 後でインストールするために Windows Update から更新プログラムをダウンロードする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323166 Windows Update カタログから Windows の更新プログラムおよびドライバをダウンロードする方法

必要条件

この更新プログラムをインストールするための必要条件はありません。

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q : 非表示モードでファイルを展開します (展開中にメッセージを一部表示しません)。
  • /q:u : ユーザー非表示モード (ユーザーにいくつかのダイアログ ボックスを表示します)。
  • /q:a : 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t: path : ファイルの展開先フォルダを指定します。
  • /c : インストールせずにファイルの展開のみを行います。/t: path を指定していない場合は、展開先のフォルダの入力を求められます。
  • /c: path : セットアップの .inf ファイルまたは .exe ファイルのパスと名前を指定します。
  • /r:n : インストール完了後にコンピュータを再起動しません。
  • /r:i : 再起動が必要な場合に、ユーザーにコンピュータの再起動を求めるメッセージを表示します (/q:a を使用している場合は除きます)。
  • /r:a : インストール完了後にコンピュータを必ず再起動します。
  • /r:s : インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。

展開方法に関する情報

更新プログラムをインストールするときにユーザーによる操作を省略するには、次のコマンド ラインを実行します。
filename /q:a
更新プログラムのインストール後にコンピュータを再起動しないようにするには、次のコマンド ラインを実行します。
filename /r:n
: 1 つのコマンド ラインで複数のスイッチを組み合わせて実行できます。

Software Update Services を使用してこの更新プログラムを展開する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要はありません。

アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [アプリケーションの追加と削除] を使用します。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

Windows Millennium Edition
   日付          時刻    バージョン            サイズ    ファイル名
   ---------------------------------------------------------
   2003/06/26  22:19  2003.1100.5426.0  311,864  Html32.cnv
   2003/06/26  22:19  2003.1100.5426.0  116,288  Msconv97.dll
Windows 98 および Windows 98 Second Edition
   日付          時刻    バージョン            サイズ    ファイル名
   ---------------------------------------------------------
   2003/06/26  22:19  2003.1100.5426.0  311,864  Html32.cnv
   2003/06/26  22:19  2003.1100.5426.0  116,288  Msconv97.dll

状況

マイクロソフトでは、この問題によって、この資料の対象製品として記載されているマイクロソフト製品に、何らかのセキュリティの脆弱性が生じることを認識しています。

詳細

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-023.mspx

プロパティ

文書番号: 823559 - 最終更新日: 2011年2月3日 - リビジョン: 11.4
キーワード:?
atdownload kbwin2000presp5fix kbqfe kbfix kbbug kbsecvulnerability kbsecurity kbsecbulletin KB823559
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com