[MS09-046] DHTML 編集コンポーネントの ActiveX コントロールの脆弱性により、リモートでコードが実行される

文書翻訳 文書翻訳
文書番号: 956844 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

マイクロソフトはセキュリティ情報 MS09-046 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/common/international.aspx?rdpath=4
北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。
http://support.microsoft.com/oas/default.aspx?&prid=7552
企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。

詳細

このセキュリティ更新プログラムの関連情報

このセキュリティ更新プログラムに関する既知の問題

このセキュリティ更新プログラムを適用すると、ドキュメントの HTML を対象とする各処理用の DHTML 編集コントロールが含まれるドキュメントに次の META 要素を挿入する、DHTML 編集コントロールの新しいバージョンが追加されます。
<META content="text/html; charset=unicode" http-eqiv=Content-Type>
<META name=GENERATOR content="MSHTML <version>">
SourceCodePreservation プロパティは、DHTML 編集コントロールでは現在使用されていません。これにより、Unicode に設定された追加の文字エンコードと互換性がない既存のアプリケーションが動作しない場合があります。この問題を解決する 1 つの方法としては、出力ストリームで META 要素を識別し、文字セットの指定を目的のエンコードで置き換えます。

攻撃対象を減らす取り組みの一部として、マークアップ書式を部分的に保持していたコードは、DHTML コントロールから削除されました。新しい DHTML コントロールは MSHTML に直接データを送信し、HTML 出力を返します。MSHTML および DHTML コントロールは、完全には書式を保持しません。MSHTML は、所在不明の要素を追加することにより、「正規化された」HTML の視覚レンダリングを実現します。このような正規化の変更には、終了 </td> タグの追加、<html> と <head> タグの追加、および <head> 要素内への <style> タグと <script> タグ要素の配置が含まれます。DHTML コントロールはドキュメント モデル内に HTML を解析し、ユーザーがファイルを保存した際にモデルから HTML を再度作成します。DHTML コントロールから出力上で HTML Tidy ツールを使用することにより、追加の書式を実現することができます。HTML Tidy ツールの詳細については、次の Web サイトを参照してください。
http://www.w3.org/People/Raggett/tidy
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS09-046 の「ファイル情報」セクションをご覧ください。

プロパティ

文書番号: 956844 - 最終更新日: 2010年1月14日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4?を以下の環境でお使いの場合
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional
    • Microsoft Windows 2000 Server
キーワード:?
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB956844
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com