深刻度
|
→ |
1(緊急) |
|
2(重要) |
|
3(警告) |
|
4(注意) |
|
対策
|
至急適用
|
再起動の必要性
|
なし(必要なファイルが使用中の場合は再起動が必要)
|
アンインストール
|
可
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
よく寄せられる質問
|
|
含まれる過去の修正
|
|
脆弱性識別番号
|
|
更新履歴
|
2004/04/14 セキュリティ情報ページを公開 |
|
MS04-013/837009 |
MHTML URLの処理方法の脆弱性により、任意のコードが実行させられる危険性の解消を含むOutlook Expressの累積的な修正
|
(Outlook Express 用の累積的な修正プログラム) |
|
|
対応策: 修正プログラムの適用作業を至急開始してください。 |
|
概要 |
特別な細工がされたMHTML URLを処理する方法に脆弱性があり、リモートで任意のコードが実行させられる危険性があります。
攻撃者は、特別に細工したMHTML形式でエンコードされた文書へのリンク(mhtml://URL)をWebページなどに配置し、ユーザーにクリックさせるように誘導します。ユーザーがこのURLをクリックすると、Outlook
Expressにより、MHTML形式でエンコードされた文書が処理されます。このとき脆弱性が悪用され、文書内の不正なスクリプトが実行されます。またユーザーのコンピュータ上のファイルにアクセスし、ログオンしているユーザーの権限で任意のコードが実行される危険性があります。
Windows 2000以降のWindows OSは、標準機能としてOutlook Expressをインストールするため、Outlook Expressをメール・クライアントとして利用していなくてもこの脆弱性の影響を受けますのでご注意ください。またWindows
NT 4.0でも、Internet Explorerのバージョンが4.0以降の場合は、デフォルトでOutlook Expressがインストールされています。つまり、ほぼすべてのWindows
OSに対して、修正プログラムの適用が必要です。
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Outlook Express 5.5 |
Windows 2000 SP3+IE 5.01 SP3/Windows 2000
SP4+IE 5.01 SP4、Windows Me+IE 5.5 SP2 |
Outlook Express 6 |
Windows XP SP未適用+IE 6 |
Outlook Express 6 ServicePack 1 |
Windows 98/98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/2000 SP4/XP
SP未適用/XP SP1/XP SP1a+IE 6 SP1 |
|
|
詳細情報 |
Outlook ExpressのMHTML URLを処理する方法に脆弱性があります。MHTMLとは、本文内にHTMLコンテンツを含む電子メールを作成するために使用されるインターネット標準規格です。HotFix
ReportもMHTML形式の電子メールでお届けしています。
MHTMLでは、メール本文にテキスト・パートとHTMLパート、画像パートの3種類を定義し、それぞれエンコードを行い1つのメール・ファイルとします。Outlook
ExpressなどのMHTMLに対応したメール・クライアントは、HTMLパートと画像パートをデコードしてHTML形式で(Webページ表示と同様に)メール本文を表示します。Outlook
Expressなどでテキスト形式の表示に設定しているか、MHTMLに対応していないメール・クライアントの場合、テキスト・パートのみをデコードし、プレーン・テキストで表示を行います。この際、ほとんどのメール・クライアントは、HTMLパートと画像パートを別々にデコードし、添付ファイルとして扱います。
この脆弱性を悪用するには、WebページにMHTML URL(MHTML://)によるリンクを置き、ユーザーにクリックさせるように仕向けるか、MHTMLメール(HTML形式のメール)を送ってユーザーに開かせる必要があります。この脆弱性が悪用された場合、Internet
Explorerのマイ・コンピュータのセキュリティ・ゾーンで任意のコードが実行される危険性があります。
この脆弱性は、昨今大量に発生している電子メールを悪用したワーム/ウイルスに悪用される危険性が高いものです。至急、修正プログラムの適用を開始してください。また、Outlook
Expressなどのメール・クライアント・ソフトウェアにおいて、MHTML形式のメールをテキスト形式で表示するように設定し、安全が確認できた場合にのみHTML形式で表示するといった運用を心がけるようにしてください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
■MS04-013の修正プログラムはWindows 98/98 SE/Meにも対応?
MS04-013の修正プログラムは、一部適用環境に制限があるもののWindows 98/98 SE/Meにも対応しています。MS04-013のOutlook
Express 5.5 SP2向けの修正プログラムはWindows Meに、Outlook Express 6 SP1向けはWindows 98/98 SE/Meに適用可能です。Windows
98/98 SEでOutlook Express 5.5 SP2を利用している場合は、Outlook Express 6 SP1(Internet Explorer
6 SP1)へのバージョンアップを行ったのち、MS04-013の修正プログラムを適用してください。
なおマイクロソフトは、ライフサイクル・ポリシーに基づき、Windows 98/98 SE/Meに対しては、緊急に位置付けられる修正プログラムのみを提供する、としています。
■Outlook Express 5.5 SP2向け修正プログラムの対象プラットフォームは限定的
Outlook Express 5.5 SP2がインストールされるのは以下の環境です。
- Internet Explorer 5.5 SP2をインストールした環境(Windows NT 4.0ではOutlook Expressも含める設定でインストールする必要があります)
- Windows 2000 SP3+Internet Explorer 5.01 SP3
- Windows 2000 SP4+Internet Explorer 5.01 SP4
Windows 2000の場合、Internet Explorerのバージョンを5.5以降に上げることなくSP3以降のサービスパックを適用すると、Internet
Explorerのバージョンは5.01 SP3/SP4になります。このとき、Outlook Expressのバージョンは5.5 SP2になります(Internet
ExplorerとOutlook Expressのバージョンが異なるため注意が必要です)。
MS04-013の修正プログラムは、上記のうち1.のInternet Explorer 5.5 SP2インストール済み環境については、Windows
Meを除いてサポートしていません。つまりWindows NT 4.0/2000+Internet Explorer 5.5 SP2の環境では、MS04-013の修正プログラムの適用がサポートされていません。この場合は、Internet
Explorer 6 SP1へバージョンアップしてから適用してください。
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Outlook Express 5.5 SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
Q837009.exe |
2004/03/04 |
5.50.4925.2200 |
855,576
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\System32\ |
INETCOMM.DLL |
2004/03/03 |
5.50.4939.300 |
573,200
|
Microsoft インターネット メッセージ API |
展開フォルダ |
%ProgramFiles%\Outlook
Express\ |
MSOE.DLL |
2002/10/16 |
5.50.4922.1500 |
1,146,640
|
Outlook Express |
・Outlook Express 6:
ファイル名 |
日付 |
バージョン |
サイズ |
Q837009.exe |
2004/03/04 |
6.0.2800.1168 |
871,672
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\System32\ |
INETCOMM.DLL |
2004/03/03 |
6.0.2739.300 |
595,968
|
Microsoft Internet Messaging API |
展開フォルダ |
%ProgramFiles%\Outlook
Express\ |
MSOE.DLL |
2003/03/13 |
6.0.2720.3000 |
1,175,040
|
Outlook Express |
・Outlook Express 6 SP1:
ファイル名 |
日付 |
バージョン |
サイズ |
OE6.0sp1-KB837009-x86-JPN.exe |
2004/03/12 |
6.0.2800.1168 |
1,988,864
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\System32\ |
INETCOMM.DLL |
2004/03/02 |
6.0.2800.1409 |
593,408
|
Microsoft Internet Messaging API |
INETRES.DLL |
2004/03/11 |
6.0.2800.1123 |
47,616
|
Microsoft Internet Messaging API Resources |
MSIDENT.DLL |
2002/10/23 |
6.0.2800.1123 |
44,032
|
Microsoft Identity Manager |
MSOEACCT.DLL |
2002/10/23 |
6.0.2800.1123 |
228,864
|
Microsoft Internet Account Manager |
MSOEACCT.DLL |
2002/10/23 |
6.0.2800.1123 |
228,864
|
Microsoft Internet Account Manager |
MSOERT2.DLL |
2002/10/23 |
6.0.2800.1123 |
91,136
|
Microsoft Outlook Express RT Lib |
展開フォルダ |
%ProgramFiles%\Common
Files\System\ |
DIRECTDB.DLL |
2002/10/23 |
6.0.2800.1123 |
75,776
|
Microsoft Direct Database API |
WAB32.DLL |
2004/03/02 |
6.0.2800.1409 |
463,360
|
Microsoft Address Book DLL |
展開フォルダ |
%ProgramFiles%\Outlook
Express\ |
MSIMN.EXE |
2002/10/23 |
6.0.2800.1123 |
56,832
|
Outlook Express |
MSOE.DLL |
2004/03/02 |
6.0.2800.1409 |
1,175,040
|
Outlook Express |
MSOERES.DLL |
2004/03/11 |
6.0.2800.1123 |
2,479,616
|
Outlook Express |
MSOERES.DLL |
2004/03/11 |
6.0.2800.1123 |
2,479,616
|
Outlook Express |
OEIMPORT.DLL |
2002/10/23 |
6.0.2800.1123 |
93,184
|
Outlook Express Mail Import & Export |
OEMIG50.EXE |
2002/10/23 |
6.0.2800.1123 |
55,808
|
Outlook Express Migration 5.0 |
OEMIGLIB.DLL |
2002/10/23 |
6.0.2800.1123 |
31,744
|
Microsoft Outlook Express Migration Library |
WAB.EXE |
2002/10/23 |
6.0.2800.1123 |
42,496
|
アドレス帳 |
WABFIND.DLL |
2002/10/23 |
6.0.2800.1123 |
30,208
|
Find People |
WABIMP.DLL |
2002/10/23 |
6.0.2800.1123 |
77,824
|
Microsoft WAB Importer/Exporter |
WABMIG.EXE |
2002/10/23 |
6.0.2800.1123 |
27,648
|
Microsoft Address Book Import Tool |
・Windows Server 2003向けOutlook Express 6:
ファイル名 |
日付 |
バージョン |
サイズ |
Q837009.exe |
2004/03/04 |
6.0.2800.1168 |
871,672
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR/RTMQFE) |
%SystemRoot%\System32\ |
inetcomm.dll |
2004/03/03 |
6.0.3790.137 |
605,184
|
Microsoft Internet Messaging API |
|
|
確認方法 |
Windows Server 2003を除き、Internet Explorerの[ヘルプ]−[バージョン情報]の[更新バージョン]のフィールドに「Q837009」があることで確認できます(Windows
Server 2003はレジストリ・キーで確認してください)。
また以下のレジストリ・キーが作成されていることでも確認可能です。
・Outlook Express 5.5 SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "5,50,4939,300"
・Outlook Express 6:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "6,0,2739,300"
・Outlook Express 6 SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "6,0,2800,1409"
・Windows Server 2003向けOutlook Express 6:
HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Hotfix\KB837009
がInstalled = 1
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のURLでダウロードを実行してください。
・Outlook Express 5.5 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88D8F9DC-589A-4CE5-BB04-CCEDCB8ADDBA&displaylang=ja
・Outlook Express 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DCEB332E-CAE4-4743-B6AB-EDC1CD625AE0&displaylang=ja
・Outlook Express 6 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=925628BD-1B5F-4B21-8DB6-EDE1C73F97B5&displaylang=ja
・Windows Server 2003向けOutlook Express 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1C44FB27-6A9D-42AE-8E06-3ADBB7896BCD&displaylang=ja
また、Windows UpdateからもMS04-013の全修正プログラムが適用できます。
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・電子メールをテキスト形式で読み取る設定に変更する
Outlook 2002以降のバージョンまたはOutlook Express 6 SP1を利用している場合は、 MHTMLメール(HTML形式のメール)をテキスト形式で読み取るように設定します。この設定変更により、メール中の不正なリンクをクリックしない限り、この脆弱性を悪用したメールによる攻撃を回避できます。MHTMLメールをテキスト形式で読み取る設定方法については、「セキュリティTIPS:Outlook
Expressの設定を変更してセキュリティを向上させる方法」を参照してください。
・セキュリティTIPS Outlook Expressの設定を変更してセキュリティを向上させる方法:
http://www.hotfix.jp/archives/tips/2004/tips04-04.html
|
|
UpdateEXPERTによる予想適用時間 |
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Q837009.exe
(Outlook Express 5.5 SP2) |
12分 |
21分 |
46分 |
1時間28分 |
Q837009.exe
(Outlook Express 6) |
12分 |
21分 |
46分 |
1時間28分 |
OE6.0sp1-KB837009-x86-JPN.exe
(Outlook Express 6 SP1) |
13分 |
21分 |
47分 |
1時間30分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Outlook Express 5.5 SP2:
[展開ビュー]−[IE]タブに「名前:Q837009.exe」で登録
・Outlook Express 6:
[展開ビュー]−[IE]タブに「名前:Q837009.exe」で登録
・Outlook Express 6 SP1:
[展開ビュー]−[IE]タブに「名前:OE6.0sp1-KB837009-x86-JPN.exe」で登録
|
|
|