Microsoft セキュリティ アドバイザリ 2974294
Microsoft マルウェア対策エンジンの脆弱性により、サービス拒否が発生する
公開日: 2014 年 6 月 17 日
バージョン: 1.0
一般情報
概要
Microsoft は、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処していることをお客様に通知するために、このセキュリティ アドバイザリをリリースしています。 この脆弱性により、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンした場合、サービス拒否が起こる可能性があります。 攻撃者がこの脆弱性を悪用した場合、特別に細工されたファイルが手動で削除され、サービスが再起動されるまで、影響を受けるシステムが Microsoft マルウェア保護エンジンによって監視されるのを防ぐことができます。
Microsoft マルウェア対策エンジンには、いくつかの Microsoft マルウェア対策製品が付属しています。 影響を受ける製品の 一覧については、「影響を受けるソフトウェア 」セクションを参照してください。 Microsoft マルウェア対策エンジンへの更新は、影響を受ける製品の更新されたマルウェア定義と共にインストールされます。 エンタープライズ インストールの管理管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。
通常、Microsoft Malware Protection Engine の更新プログラムをインストールするために、エンタープライズ管理者またはエンド ユーザーにアクションは必要ありません。これは、更新プログラムの自動検出と展開の組み込みメカニズムによって、リリースから 48 時間以内に更新プログラムが適用されるためです。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
参考文献 | [識別] |
---|---|
CVE リファレンス | CVE-2014-2779 |
この脆弱性の影響を受ける最新バージョンの Microsoft マルウェア対策エンジン | バージョン 1.1.10600.0 |
この脆弱性が対処された Microsoft マルウェア対策エンジンの最初のバージョン | バージョン 1.1.10701.0* |
*お使いのバージョンの Microsoft Malware Protection Engine がこのバージョン以上の場合、この脆弱性の影響を受けず、それ以上の操作を行う必要はありません。 ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
影響を受けるソフトウェア
脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響 | |
---|---|
マルウェア対策ソフトウェア | Microsoft マルウェア対策エンジンのサービス拒否の脆弱性 - CVE-2014-2779 |
Microsoft Forefront Client Security | 重要なサービス拒否 |
Microsoft Forefront Endpoint Protection 2010 | 重要なサービス拒否 |
Microsoft Forefront Security for SharePoint Service Pack 3 | 重要なサービス拒否 |
Microsoft System Center 2012 Endpoint Protection | 重要なサービス拒否 |
Microsoft System Center 2012 Endpoint Protection Service Pack 1 | 重要なサービス拒否 |
Microsoft 悪意のあるソフトウェア削除ツール[1] | 重要なサービス拒否 |
Microsoft Security Essentials | 重要なサービス拒否 |
Microsoft Security Essentials プレリリース | 重要なサービス拒否 |
Windows Defender for Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2 | 重要なサービス拒否 |
Windows Defender for Windows RT および Windows RT 8.1 | 重要なサービス拒否 |
Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 | 重要なサービス拒否 |
Windows Defender オフライン | 重要なサービス拒否 |
Windows Intune Endpoint Protection | 重要なサービス拒否 |
[1]2014 年 5 月以前のバージョンの Microsoft 悪意のあるソフトウェア削除ツールにのみ適用されます。
影響を受けるソフトウェア以外のソフトウェア
マルウェア対策ソフトウェア |
---|
マルウェア対策エンジンを実行しない |
Microsoft Forefront Server Security Management Console |
Microsoft Internet Security and Acceleration (ISA) Server |
Exploitability Index
次の表は、このアドバイザリで対処されている脆弱性の悪用可能性評価を示しています。
このテーブル操作方法使用しますか?
この表を使用して、このアドバイザリ リリースから 30 日以内に悪用コードがリリースされる可能性について説明します。 デプロイに優先順位を付けるために、特定の構成に従って、以下の評価を確認する必要があります。 これらの評価の意味と決定方法の詳細については、Microsoft Exploitability Index を参照してください。
脆弱性のタイトル | CVE ID | 最新のソフトウェア リリースの悪用可能性評価 | 以前のソフトウェア リリースの悪用可能性評価 | サービス拒否の悪用可能性評価 | 主な注意事項 |
---|---|---|---|---|---|
Microsoft マルウェア対策エンジンのサービス拒否の脆弱性 | CVE-2014-2779 | 3 - コードを悪用する可能性は低い | 3 - コードを悪用する可能性は低い | 永久 | これはサービス拒否の脆弱性です。\ \ この脆弱性を悪用すると、オペレーティング システムまたはアプリケーションが手動で再起動されるまで永続的に応答しなくなる可能性があります。 また、自動的に回復することなく、アプリケーションが予期せず閉じたり終了したりする可能性もあります。 |
アドバイザリに関する FAQ
Microsoft は、この脆弱性に対処するためにセキュリティ情報をリリースしていますか?
いいえ。 Microsoft は、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処することを顧客に通知するために、この情報セキュリティ アドバイザリをリリースしています。
通常、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールする操作は必要ありません。
通常、この更新プログラムのインストールに必要なアクションがないのはなぜですか?
絶えず変化する脅威の状況に対応して、Microsoft はマルウェア定義と Microsoft マルウェア保護エンジンを頻繁に更新します。 新しい脅威や一般的な脅威から保護するために、マルウェア対策ソフトウェアは、これらの更新プログラムをタイムリーに最新の状態に保つ必要があります。
エンタープライズ展開とエンド ユーザーの場合、Microsoft マルウェア対策ソフトウェアの既定の構成は、マルウェア定義と Microsoft マルウェア保護エンジンが自動的に最新の状態に保たれるようにするのに役立ちます。 製品ドキュメントでは、自動更新用に製品を構成することも推奨されています。
ベスト プラクティスでは、Microsoft マルウェア保護エンジンの更新プログラムやマルウェア定義の自動展開など、ソフトウェア配布が環境内で期待どおりに動作しているかどうかを定期的に確認することをお勧めします。
Microsoft マルウェア保護エンジンとマルウェア定義はどのくらいの頻度で更新されますか?
通常、Microsoft は、月に 1 回、または新しい脅威から保護するために必要に応じて、Microsoft マルウェア対策エンジンの更新プログラムをリリースします。 Microsoft は通常、マルウェア定義を 1 日に 3 回更新し、必要に応じて頻度を上げることができます。
どの Microsoft マルウェア対策ソフトウェアが使用され、どのように構成されているかに応じて、ソフトウェアは、インターネットに接続されている場合、エンジンと定義の更新プログラムを毎日、毎日複数回検索できます。 お客様は、更新プログラムをいつでも手動でチェックすることもできます。
更新プログラムをインストールするにはどうすればよいですか?
この更新プログラムをインストールする方法の詳細については、「 推奨されるアクション」セクションを参照してください。
Microsoft マルウェア対策エンジンとは
Microsoft マルウェア対策エンジンは、mpengine.dll、Microsoft ウイルス対策およびスパイウェア対策ソフトウェアのスキャン、検出、およびクリーン機能を提供します。
Microsoft マルウェア対策テクノロジに関する詳細情報はどこで確認できますか?
詳細については、Microsoft マルウェア プロテクション センター Web サイトを参照してください。
「Microsoft マルウェア対策エンジンのサービス拒否の脆弱性」の FAQ - CVE-2014-2779
この脆弱性の範囲は何ですか?
これはサービス拒否の脆弱性です。
この脆弱性の原因は何ですか?
この脆弱性は、Microsoft マルウェア対策エンジンが特別に細工されたファイルを正しくスキャンせず、スキャン タイムアウトが発生した場合に発生します。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、特別に細工されたファイルが手動で削除され、サービスが再起動されるまで、影響を受けるシステムが Microsoft マルウェア保護エンジンによって監視されるのを防ぐことができます。
攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、影響を受けるバージョンの Microsoft マルウェア対策エンジンによって特別に細工されたファイルをスキャンする必要があります。 攻撃者が Microsoft マルウェア保護エンジンによってスキャンされた場所に特別に細工されたファイルを配置する方法は多数あります。 たとえば、攻撃者は Web サイトを使用して、ユーザーが Web サイトを表示したときにスキャンされる、特別に細工されたファイルを被害者のシステムに配信する可能性があります。 攻撃者は、電子メール メッセージを介して、またはファイルを開いたときにスキャンされるインスタント メッセンジャー メッセージで、特別に細工されたファイルを配信する可能性もあります。 さらに、攻撃者は、ユーザーが提供するコンテンツを受け入れるかホストする Web サイトを利用して、特別に細工されたファイルを、ホスティング サーバー上で実行されているマルウェア保護エンジンによってスキャンされる共有の場所にアップロードする可能性があります。
影響を受けるマルウェア対策ソフトウェアでリアルタイム保護が有効になっている場合、Microsoft マルウェア対策エンジンはファイルを自動的にスキャンし、特別に細工されたファイルをスキャンすると脆弱性が悪用されます。 リアルタイム スキャンが有効になっていない場合、攻撃者は、脆弱性が悪用されるためにスケジュールされたスキャンが発生するまで待機する必要があります。
さらに、この脆弱性の悪用は、影響を受けるバージョンの悪意のあるソフトウェア削除ツール (MSRT) を使用してシステムがスキャンされるときに発生する可能性があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
影響を受けるバージョンのマルウェア対策ソフトウェアを実行しているすべてのシステムは、主に危険にさらされます。
更新プログラムは何を行いますか?
この更新プログラムは、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンする方法を修正することで、この脆弱性を解決します。
このセキュリティ アドバイザリが発行されたとき、この脆弱性は公開されていましたか?
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。
このセキュリティ アドバイザリが発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 Microsoft は、このセキュリティ アドバイザリが最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
推奨されるアクション
更新プログラムがインストールされていることを確認する
お客様は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、Microsoft マルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります。
ソフトウェアが現在使用している Microsoft マルウェア対策エンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。
影響を受けるソフトウェアの場合は、Microsoft マルウェア対策エンジンのバージョンが 1.1.10701.0 以降であることを確認します。
必要に応じて、更新プログラムをインストールします
エンタープライズマルウェア対策展開の管理は、更新プログラム管理ソフトウェアが、エンジンの更新プログラムと新しいマルウェア定義を自動的に承認して配布するように構成されていることを確認する必要があります。 また、エンタープライズ管理者は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、その環境でアクティブにダウンロード、承認、展開されていることを確認する必要があります。
影響を受けるソフトウェアは、エンド ユーザーに対して、この更新プログラムの自動検出と展開のための組み込みメカニズムを提供します。 これらのお客様の場合、更新プログラムは利用可能から 48 時間以内に適用されます。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。 待機しないエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。
Microsoft マルウェア対策エンジンとマルウェア定義を手動で更新する方法の詳細については、マイクロソフト サポート技術情報の記事2510781を参照してください。
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- Microsoft マルウェア対策エンジンの サービス拒否の脆弱性に関する Google Project Zero の Tavis Ormandy (CVE-2014-2779)
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2014 年 6 月 17 日): アドバイザリが公開されました。
Page generated 2014-07-07 10:25Z-07:00.