MS16-087: Windows 印刷スプーラー コンポーネント用のセキュリティ更新プログラム2016 年 7 月 13 日

適用対象: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

注意事項


このセキュリティ更新プログラムは 2017 年 9 月 13 日に再リリースされ、CVE-2016-3238 の 3170455 更新プログラムの既知の問題を解決します。

マイクロソフトでは、次の現在サポートされている Microsoft Windows のバージョン用の更新プログラムを提供しています。詳細については、マイクロソフト サポート技術情報の次の記事を参照してください。

  • Windows Server 2008 用の再リリース更新プログラム 3170455 
  • Windows 7 および Windows Server 2008 R2 用の月例のロールアップ 4038777 およびセキュリティ更新プログラム 4038779 
  • Windows Server 2012 用の月例のロールアップ 4038799 およびセキュリティ更新プログラム 4038786 
  • Windows 8.1 および Windows Server 2012 R2 用の月例のロールアップ 4038792 およびセキュリティ更新プログラム 4038793 
  • Windows 10 用の累積的な更新プログラム 4038781 
  • Windows 10 Version 1511 用の累積的な更新プログラム 4038781 
  • Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム 4038782 

Windows Server 2008 を実行している場合は更新プログラム 3170455 を再インストールすることをお勧めします。 他のサポートされるバージョンの Windows を実行している場合は適切な更新プログラムをインストールすることをお勧めします。 詳細については、マイクロソフト サポート技術情報 3170455 を参照してください。


再リリース MS16-087 に含まれているその他の変更点

  • プリンター ドライバーのインストール エラーの原因特定に役立つイベント ログの追加

以前までは、ドライバーが MS16-087 の一部として実装された新しい制限の確認処理に失敗した理由を知る唯一の方法は、ETW ログを収集し、分析用にマイクロソフトに送信することでした。

ドライバーの失敗の根本原因をお客様ご自身で調査できるように、失敗の原因を記録する機能をイベント ログ ツールに追加しました。

記録される情報は次のとおりです。

1. ドライバーがパッケージ対応ではないか正しく署名されていない場合、次のメッセージが記録されます。

MSG_CSRSPL_UNTRUSTED_DRIVER: "The print spooler failed to download package for driver <driverName>. Error code= <errorCodeFromListBelow>. Blocking driver as there could be a possibility of potential tampering. (印刷スプーラーはドライバー <ドライバー名> 用のパッケージをダウンロードできませんでした。エラー コード = <以下のエラー コードのいずれか>。改ざんの可能性があるため、ドライバーをブロックします。)"

2. ドライバーが提供されたカタログを使用して署名の検証に失敗した場合、次のメッセージが記録されます。

VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>. (VALIDATINGDRVINFO で、プリンター ドライバー <ドライバー名> の追加に失敗しました。エラー コード <以下のエラー コードのいずれか>。)"

可能性のあるエラー コード:

コード

意味

0x800F0243L

信頼されていない発行元

0x800F024BL

カタログにないハッシュ

0x800F022FL

OEM INF 用のカタログがない

0x800F023FL

Authenticode カタログがない

0x800F0240L

Authenticode が使用できない

0x800F0249L

汎用“ドライバーのインストールがブロックされている”

 

概要


このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。 これらの脆弱性で比較的深刻なものでは、攻撃者が man-in-the-middle (MiTM) 攻撃をワークステーションやプリント サーバーに仕掛けたり、標的とするネットワーク上で非承認のプリント サーバーをセットアップしたりできる場合に、リモートでコードが実行される可能性があります。

脆弱性の詳細については、マイクロソフト セキュリティ情報 MS16-087 を参照してください。

詳細情報


重要
 
  • このセキュリティ更新プログラムをインストールし、プリント サーバーからクライアントにポイント アンド プリント ドライバーをデプロイできるようにした後は、以下の Windows 更新プログラムのロールアップを Windows 8.1 または Windows Server 2012 R2 プリンター サーバーに適用する必要があります。
    3000850 2014 年 11 月公開の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラムのロールアップ
  • 今後の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム 2919355 がインストールされている必要があります。 将来の更新プログラムをインストールするために、Windows RT 8.1 ベース、Windows 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムの関連情報


以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。 資料には、既知の問題に関する情報が掲載されている場合があります。
 
  • 3170455 MS16-087: Windows 印刷スプーラー コンポーネント用のセキュリティ更新プログラムについて 2016 年 7 月 13 日
  • 3163912 Windows 10 用の累積的な更新プログラム 2016 年 7 月 13 日
  • 3172985 Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム 2016 年 7 月 13 日
 

既知の問題

お使いの環境内でネットワーク印刷を利用している場合に、次のいずれかの問題が発生する可能性があります。
 
  • プリンター ドライバーのインストールに関する警告が表示される場合や、MS16-087 の適用後にドライバーのインストールが何の通知もなしに失敗する場合があります。 この場合の現象は特定のシナリオに応じて異なります。
     

    シナリオ 1

    実装を認識できない v3 プリンター ドライバーの場合は、ユーザーがポイント アンド プリント プリンターに接続しようとすると、次の警告メッセージが表示されることがあります。

    このプリンターを信頼しますか?
     

    シナリオ 2

    実装を認識できるドライバーは、信頼された証明書で署名されている必要があります。 検証プロセスでは、ドライバーに含まれるすべてのファイルがカタログ内でハッシュされているかどうかを確認します。 検証に失敗した場合、そのドライバーは信頼できないと判断されます。 この場合、ドライバーのインストールはブロックされ、次の警告メッセージが表示されます。

    プリンターの追加
     

    シナリオ 3

    非対話型のシナリオの場合 (自動スクリプトによってプリンターがインストールされるなど)、プリンター ドライバーが「シナリオ 1」または「シナリオ 2」で説明した条件に一致すると、プリンターのインストールは失敗し、警告メッセージが表示されます。

    このような場合は、プリンターの製造元から更新されたドライバーを入手するようにネットワーク管理者に連絡してください。

    ネットワーク管理者向けのガイダンス:
     
    • 影響を受けたプリンター ドライバーを更新してください。 実装を認識できる V3 プリンター ドライバーは Windows Vista で導入されました。 実装を認識できるプリンター ドライバーをインスールすると、問題が解決します。
    • 特定の従来のプリンターに適切なプリンター ドライバーが用意されていない場合は、問題のあるプリンター ドライバーをクライアント システムにプレインストールすると、問題が解決します。
    これらのシナリオの詳細については、マイクロソフトの次のリソースを参照してください。
     
  • セキュリティ更新プログラム MS16-087 (KB 3170455) を適用した後、Windows 8.1 または Windows Server 2012 R2 を実行しているシステムにインストールされている、信頼済みパッケージ対応プリンターに接続しようとすると、そのプリンターに接続できません。

    問題を解決するには、Windows 8.1 または Windows Server 2012 R2 プリンター サーバーに次の Windows 更新プログラムのロールアップを適用します。
    3000850 2014 年 11 月公開の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラムのロールアップ

2016 年 10 月公開の更新プログラム: 既知の問題の軽減策

マイクロソフトは、ネットワーク管理者によるポリシーの構成を許可する 2016 年 10 月の更新プログラムをリリースしました。これによりネットワーク管理者が安全と考えるプリント ドライバーのインストールが許可されます。 また、この更新プログラムでは、ネットワーク管理者が安全と考えるプリンター接続のデプロイも許可されます。

この更新プログラムは以下のロールアップ パッケージに含まれています。

 
Windows 10 RTM サポート技術情報 3192440
Windows 10 1511 サポート技術情報 3192441
Windows 10 1607 サポート技術情報 3194798
Windows 7 および Windows Server 2008 R2 サポート技術情報 3192403
Windows Server 2012 サポート技術情報 3192406
Windows 8.1 および Windows Server 2012 R2 サポート技術情報 3192404

グループ ポリシーを構成し、プリント サーバーを許可リストに追加する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. gpedit.msc」と入力し、[OK] をクリックします。
  3. [コンピュータの構成][管理用テンプレート] を展開します。
  4. [プリンター] をクリックします。
  5. [ポイント アンド プリントの制限] をダブルクリックし、[有効] オプションを選択します。
  6. [オプション][ユーザーがポイント アンド プリントを行うことができるサーバー] チェック ボックスをオンにしてから、テキスト ボックスにセミコロンで区切って完全修飾サーバー名を入力します。
  7. [セキュリティの確認] で、[新しい接続用にドライバをインストールした場合][既存の接続用にドライバを更新した場合] リストの両方で [警告または昇格時のプロンプトを表示しない] を選択します。
  8. [適用][OK] の順にクリックします。
  9. [プリンター] ポリシー ページで [ポイントと印刷の実装 – 許可されたサーバー] をダブルクリックします。
  10. [有効] オプションを選択します。
  11. [オプション][表示] をクリックします。
  12. 各行に 1 つずつ完全修飾サーバー名を入力します。
  13. [OK] をクリックします。
  14. [適用] をクリックし、[OK] をクリックします。
  15. スタンドアロン クライアントを使用している場合は、クライアントを再起動してからこれらのポリシーが有効になっていることを確認します。
  16. ドメイン ポリシーを使用している場合は、ドメイン クライアントにそのポリシーをプッシュしてからこれらのポリシーが有効になっていることを確認します。
注: これらのグループ ポリシーを有効にしてから、すべてのプリンター サーバーを [ポイント アンド プリントの制限] リストと [ポイントと印刷の実装 – 許可されたサーバー] リストに追加する必要があります。 この点はパッケージ対応かどうかに関係なく該当します。
 

2016 年 10 月の更新プログラムに関するよく寄せられる質問

  • Q : 以前の更新プログラムをアンインストールする必要はありますか?
    A: いいえ。以前の更新プログラムは脆弱性を修正するものです。 2016 年 10 月の更新プログラムは、ネットワーク管理者が安全と考えるドライバーをインストールできるようにする軽減策です。
  • Q : 2016 年 10 月の更新プログラムをインストールし、グループ ポリシーを構成しても、ローカル プリンターをインストールしようとすると "このプリンターを信頼しますか" メッセージが表示されます。 この理由は何ですか。
    A: この軽減策の対象はローカル プリンターではなくネットワーク プリンターであるため、この動作は想定されています。

    注: "このプリンターを信頼しますか" メッセージが表示されない場合は、現在のドライバーを信頼できるパッケージ対応ドライバーで置き換えるか、ローカル プリンターをインストールする前にローカル ドライバー ストアにドライバー ファイルをインストールしてください。 詳細については、「ネットワーク管理者向けガイダンス」を参照してください。

更新プログラムの入手方法およびインストール方法


方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。 自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。 自動更新を有効にする方法の詳細については、セキュリティ更新プログラムを自動的に入手を参照してください。 

注: Windows RT 8.1 用のこの更新プログラムは、Windows Update を介してのみ入手できます。

詳細情報