[MS09-046] DHTML 編集コンポーネントの ActiveX コントロールの脆弱性により、リモートでコードが実行される

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
マイクロソフトはセキュリティ情報 MS09-046 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。 北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。 企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。
詳細

このセキュリティ更新プログラムの関連情報

このセキュリティ更新プログラムに関する既知の問題

このセキュリティ更新プログラムを適用すると、ドキュメントの HTML を対象とする各処理用の DHTML 編集コントロールが含まれるドキュメントに次の META 要素を挿入する、DHTML 編集コントロールの新しいバージョンが追加されます。
<META content="text/html; charset=unicode" http-eqiv=Content-Type><META name=GENERATOR content="MSHTML <version>">
SourceCodePreservation プロパティは、DHTML 編集コントロールでは現在使用されていません。これにより、Unicode に設定された追加の文字エンコードと互換性がない既存のアプリケーションが動作しない場合があります。この問題を解決する 1 つの方法としては、出力ストリームで META 要素を識別し、文字セットの指定を目的のエンコードで置き換えます。

攻撃対象を減らす取り組みの一部として、マークアップ書式を部分的に保持していたコードは、DHTML コントロールから削除されました。新しい DHTML コントロールは MSHTML に直接データを送信し、HTML 出力を返します。MSHTML および DHTML コントロールは、完全には書式を保持しません。MSHTML は、所在不明の要素を追加することにより、「正規化された」HTML の視覚レンダリングを実現します。このような正規化の変更には、終了 </td> タグの追加、<html> と <head> タグの追加、および <head> 要素内への <style> タグと <script> タグ要素の配置が含まれます。DHTML コントロールはドキュメント モデル内に HTML を解析し、ユーザーがファイルを保存した際にモデルから HTML を再度作成します。DHTML コントロールから出力上で HTML Tidy ツールを使用することにより、追加の書式を実現することができます。HTML Tidy ツールの詳細については、次の Web サイトを参照してください。他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。
ファイル情報
セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS09-046 の「ファイル情報」セクションをご覧ください。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
プロパティ

文書番号:956844 - 最終更新日: 01/14/2010 02:00:31 - リビジョン: 3.1

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Service Pack 4

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB956844
フィードバック