このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2004/04/15日版

   
【登録日】2004/04/14
【更新日】2004/04/15
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
対策
至急適用
再起動の必要性
なし(必要なファイルが使用中の場合は再起動が必要)
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS04-013(日本)
MS04-013(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq04-013
含まれる過去の修正
脆弱性識別番号
更新履歴
2004/04/14 セキュリティ情報ページを公開
MS04-013/837009
MHTML URLの処理方法の脆弱性により、任意のコードが実行させられる危険性の解消を含むOutlook Expressの累積的な修正
(Outlook Express 用の累積的な修正プログラム)
 

対応策: 修正プログラムの適用作業を至急開始してください。
 
概要

 特別な細工がされたMHTML URLを処理する方法に脆弱性があり、リモートで任意のコードが実行させられる危険性があります。

 攻撃者は、特別に細工したMHTML形式でエンコードされた文書へのリンク(mhtml://URL)をWebページなどに配置し、ユーザーにクリックさせるように誘導します。ユーザーがこのURLをクリックすると、Outlook Expressにより、MHTML形式でエンコードされた文書が処理されます。このとき脆弱性が悪用され、文書内の不正なスクリプトが実行されます。またユーザーのコンピュータ上のファイルにアクセスし、ログオンしているユーザーの権限で任意のコードが実行される危険性があります。

 Windows 2000以降のWindows OSは、標準機能としてOutlook Expressをインストールするため、Outlook Expressをメール・クライアントとして利用していなくてもこの脆弱性の影響を受けますのでご注意ください。またWindows NT 4.0でも、Internet Explorerのバージョンが4.0以降の場合は、デフォルトでOutlook Expressがインストールされています。つまり、ほぼすべてのWindows OSに対して、修正プログラムの適用が必要です。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
 
影響を受けるソフトウェア 対象プラットフォーム
Outlook Express 5.5 Windows 2000 SP3+IE 5.01 SP3/Windows 2000 SP4+IE 5.01 SP4、Windows Me+IE 5.5 SP2
Outlook Express 6 Windows XP SP未適用+IE 6
Outlook Express 6 ServicePack 1 Windows 98/98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/2000 SP4/XP SP未適用/XP SP1/XP SP1a+IE 6 SP1
 
詳細情報

 Outlook ExpressのMHTML URLを処理する方法に脆弱性があります。MHTMLとは、本文内にHTMLコンテンツを含む電子メールを作成するために使用されるインターネット標準規格です。HotFix ReportもMHTML形式の電子メールでお届けしています。

 MHTMLでは、メール本文にテキスト・パートとHTMLパート、画像パートの3種類を定義し、それぞれエンコードを行い1つのメール・ファイルとします。Outlook ExpressなどのMHTMLに対応したメール・クライアントは、HTMLパートと画像パートをデコードしてHTML形式で(Webページ表示と同様に)メール本文を表示します。Outlook Expressなどでテキスト形式の表示に設定しているか、MHTMLに対応していないメール・クライアントの場合、テキスト・パートのみをデコードし、プレーン・テキストで表示を行います。この際、ほとんどのメール・クライアントは、HTMLパートと画像パートを別々にデコードし、添付ファイルとして扱います。

 この脆弱性を悪用するには、WebページにMHTML URL(MHTML://)によるリンクを置き、ユーザーにクリックさせるように仕向けるか、MHTMLメール(HTML形式のメール)を送ってユーザーに開かせる必要があります。この脆弱性が悪用された場合、Internet Explorerのマイ・コンピュータのセキュリティ・ゾーンで任意のコードが実行される危険性があります。

 この脆弱性は、昨今大量に発生している電子メールを悪用したワーム/ウイルスに悪用される危険性が高いものです。至急、修正プログラムの適用を開始してください。また、Outlook Expressなどのメール・クライアント・ソフトウェアにおいて、MHTML形式のメールをテキスト形式で表示するように設定し、安全が確認できた場合にのみHTML形式で表示するといった運用を心がけるようにしてください。

 
DA Lab:HotFixテスティング・チームからのコメント

 修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

■MS04-013の修正プログラムはWindows 98/98 SE/Meにも対応?
 MS04-013の修正プログラムは、一部適用環境に制限があるもののWindows 98/98 SE/Meにも対応しています。MS04-013のOutlook Express 5.5 SP2向けの修正プログラムはWindows Meに、Outlook Express 6 SP1向けはWindows 98/98 SE/Meに適用可能です。Windows 98/98 SEでOutlook Express 5.5 SP2を利用している場合は、Outlook Express 6 SP1(Internet Explorer 6 SP1)へのバージョンアップを行ったのち、MS04-013の修正プログラムを適用してください。

 なおマイクロソフトは、ライフサイクル・ポリシーに基づき、Windows 98/98 SE/Meに対しては、緊急に位置付けられる修正プログラムのみを提供する、としています。

■Outlook Express 5.5 SP2向け修正プログラムの対象プラットフォームは限定的
 Outlook Express 5.5 SP2がインストールされるのは以下の環境です。

  1. Internet Explorer 5.5 SP2をインストールした環境(Windows NT 4.0ではOutlook Expressも含める設定でインストールする必要があります)
  2. Windows 2000 SP3+Internet Explorer 5.01 SP3
  3. Windows 2000 SP4+Internet Explorer 5.01 SP4

 Windows 2000の場合、Internet Explorerのバージョンを5.5以降に上げることなくSP3以降のサービスパックを適用すると、Internet Explorerのバージョンは5.01 SP3/SP4になります。このとき、Outlook Expressのバージョンは5.5 SP2になります(Internet ExplorerとOutlook Expressのバージョンが異なるため注意が必要です)。

 MS04-013の修正プログラムは、上記のうち1.のInternet Explorer 5.5 SP2インストール済み環境については、Windows Meを除いてサポートしていません。つまりWindows NT 4.0/2000+Internet Explorer 5.5 SP2の環境では、MS04-013の修正プログラムの適用がサポートされていません。この場合は、Internet Explorer 6 SP1へバージョンアップしてから適用してください。

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
・Outlook Express 5.5 SP2:
ファイル名 日付 バージョン サイズ
Q837009.exe 2004/03/04 5.50.4925.2200
855,576
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\System32\
INETCOMM.DLL 2004/03/03 5.50.4939.300
573,200
Microsoft インターネット メッセージ API
展開フォルダ %ProgramFiles%\Outlook Express\
MSOE.DLL 2002/10/16 5.50.4922.1500
1,146,640
Outlook Express
 
・Outlook Express 6:
ファイル名 日付 バージョン サイズ
Q837009.exe 2004/03/04 6.0.2800.1168
871,672
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\System32\
INETCOMM.DLL 2004/03/03 6.0.2739.300
595,968
Microsoft Internet Messaging API
展開フォルダ %ProgramFiles%\Outlook Express\
MSOE.DLL 2003/03/13 6.0.2720.3000
1,175,040
Outlook Express
 
・Outlook Express 6 SP1:
ファイル名 日付 バージョン サイズ
OE6.0sp1-KB837009-x86-JPN.exe 2004/03/12 6.0.2800.1168
1,988,864
   
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\System32\
INETCOMM.DLL 2004/03/02 6.0.2800.1409
593,408
Microsoft Internet Messaging API
INETRES.DLL 2004/03/11 6.0.2800.1123
47,616
Microsoft Internet Messaging API Resources
MSIDENT.DLL 2002/10/23 6.0.2800.1123
44,032
Microsoft Identity Manager
MSOEACCT.DLL 2002/10/23 6.0.2800.1123
228,864
Microsoft Internet Account Manager
MSOEACCT.DLL 2002/10/23 6.0.2800.1123
228,864
Microsoft Internet Account Manager
MSOERT2.DLL 2002/10/23 6.0.2800.1123
91,136
Microsoft Outlook Express RT Lib
展開フォルダ %ProgramFiles%\Common Files\System\
DIRECTDB.DLL 2002/10/23 6.0.2800.1123
75,776
Microsoft Direct Database API
WAB32.DLL 2004/03/02 6.0.2800.1409
463,360
Microsoft Address Book DLL
展開フォルダ %ProgramFiles%\Outlook Express\
MSIMN.EXE 2002/10/23 6.0.2800.1123
56,832
Outlook Express
MSOE.DLL 2004/03/02 6.0.2800.1409
1,175,040
Outlook Express
MSOERES.DLL 2004/03/11 6.0.2800.1123
2,479,616
Outlook Express
MSOERES.DLL 2004/03/11 6.0.2800.1123
2,479,616
Outlook Express
OEIMPORT.DLL 2002/10/23 6.0.2800.1123
93,184
Outlook Express Mail Import & Export
OEMIG50.EXE 2002/10/23 6.0.2800.1123
55,808
Outlook Express Migration 5.0
OEMIGLIB.DLL 2002/10/23 6.0.2800.1123
31,744
Microsoft Outlook Express Migration Library
WAB.EXE 2002/10/23 6.0.2800.1123
42,496
アドレス帳
WABFIND.DLL 2002/10/23 6.0.2800.1123
30,208
Find People
WABIMP.DLL 2002/10/23 6.0.2800.1123
77,824
Microsoft WAB Importer/Exporter
WABMIG.EXE 2002/10/23 6.0.2800.1123
27,648
Microsoft Address Book Import Tool
 
・Windows Server 2003向けOutlook Express 6:
ファイル名 日付 バージョン サイズ
Q837009.exe 2004/03/04 6.0.2800.1168
871,672
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(RTMGDR/RTMQFE)
%SystemRoot%\System32\
inetcomm.dll 2004/03/03 6.0.3790.137
605,184
Microsoft Internet Messaging API
 
確認方法

 Windows Server 2003を除き、Internet Explorerの[ヘルプ]−[バージョン情報]の[更新バージョン]のフィールドに「Q837009」があることで確認できます(Windows Server 2003はレジストリ・キーで確認してください)。

 また以下のレジストリ・キーが作成されていることでも確認可能です。

・Outlook Express 5.5 SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "5,50,4939,300"

・Outlook Express 6:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "6,0,2739,300"

・Outlook Express 6 SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2cc9d512-6db6-4f1c-8979-9a41fae88de0}
がIsInstalled = 1 かつ Version = "6,0,2800,1409"

・Windows Server 2003向けOutlook Express 6:
HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Hotfix\KB837009
がInstalled = 1

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のURLでダウロードを実行してください。

・Outlook Express 5.5 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88D8F9DC-589A-4CE5-BB04-CCEDCB8ADDBA&displaylang=ja

・Outlook Express 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DCEB332E-CAE4-4743-B6AB-EDC1CD625AE0&displaylang=ja

・Outlook Express 6 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=925628BD-1B5F-4B21-8DB6-EDE1C73F97B5&displaylang=ja

・Windows Server 2003向けOutlook Express 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1C44FB27-6A9D-42AE-8E06-3ADBB7896BCD&displaylang=ja

 また、Windows UpdateからもMS04-013の全修正プログラムが適用できます。

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・電子メールをテキスト形式で読み取る設定に変更する
 Outlook 2002以降のバージョンまたはOutlook Express 6 SP1を利用している場合は、 MHTMLメール(HTML形式のメール)をテキスト形式で読み取るように設定します。この設定変更により、メール中の不正なリンクをクリックしない限り、この脆弱性を悪用したメールによる攻撃を回避できます。MHTMLメールをテキスト形式で読み取る設定方法については、「セキュリティTIPS:Outlook Expressの設定を変更してセキュリティを向上させる方法」を参照してください。

・セキュリティTIPS Outlook Expressの設定を変更してセキュリティを向上させる方法:
http://www.hotfix.jp/archives/tips/2004/tips04-04.html

 
UpdateEXPERTによる予想適用時間
修正プログラム名 50台 100台 250台 500台
Q837009.exe
(Outlook Express 5.5 SP2)
12分 21分 46分 1時間28分
Q837009.exe
(Outlook Express 6)
12分 21分 46分 1時間28分
OE6.0sp1-KB837009-x86-JPN.exe
(Outlook Express 6 SP1)
13分 21分 47分 1時間30分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

・Outlook Express 5.5 SP2:
 [展開ビュー]−[IE]タブに「名前:Q837009.exe」で登録

・Outlook Express 6:
 [展開ビュー]−[IE]タブに「名前:Q837009.exe」で登録

・Outlook Express 6 SP1:
 [展開ビュー]−[IE]タブに「名前:OE6.0sp1-KB837009-x86-JPN.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。