■影響を受けるソフトウェア
- Microsoft Internet Explorer5.5
- Microsoft Internet Explorer6.0
■脆弱性の影響 : 攻撃者による任意のコードが実行される
■最大深刻度 : 高
■推奨する対応策 : Internet Explorer を使用しているお客様は、直ちに修正プログラムを適用して下さい。
上記のソフトをお使いの場合は、最新の修正パッチを適用して使用していただく事を強く推奨いたします。
■問題:技術的な説明 (「MSTechNet」より抜粋)
この修正プログラムは、インストールすると以前に説明され Internet Explorer 5.5 および 6 に影響を及ぼすセキュリティ上の脆弱性のすべてを排除する累積的な修正プログラムです。さらに、この修正プログラムで新たに発見された
3 つの脆弱性が排除されます。
- 1 番目の脆弱性は、HTML ストリームの Content-Dispostion ヘッダ フィールドおよび Content-Type
ヘッダ フィールドの処理のある問題に関連しています。これらのフィールド、ホストする URL、ホストされるファイル データによって
Internet Explorer でのダウンロードでファイルが処理される方法が決定されます。攻撃者が HTML のヘッダ情報をある特定の方法で変更した場合、Internet
Explorer が、実行可能ファイルが実際は別の種類のファイルで、ユーザーに確認を取らずに開くことができるファイルだと認識してしまう可能性があるため、セキュリティ上の脆弱性が発生します。これにより攻撃者は、開かれると自動的に実行可能ファイルがユーザーのシステムで実行されてしまう
Web ページまたは HTML メールを作成することができます。この脆弱性は Internet Explorer 6 のみに影響を及ぼし、Internet
Explorer 5.5 には影響はありません。
- 2 番目の脆弱性は、マイクロソフト セキュリティ情報 MS01-015 で説明された 「フレームのドメイン照合」 の脆弱性の変種が新たに発見されたものです。この脆弱性により、悪意のある
Web サイトのオペレータは、ブラウザ ウインドウの 1 つを Web サイトのドメインに、もう 1 つをユーザーのローカル
ファイル システムに、というように 2 つのブラウザ ウインドウを開き、後者から前者に情報を渡すようにします。これにより
Web サイト オペレータは、ブラウザ ウインドウで開くことができるユーザーのローカル コンピュータ上のファイルをすべて読み取ることができる可能性があります。しかし、ファイルを変更することはできません。この脆弱性は
Internet Explorer 5.5 および 6 の両方のバージョンに影響を及ぼします。
- 3 番目の脆弱性は、[ファイルのダウンロード] ダイアログ ボックスでのファイル名の表示の問題に関連して発生します。ファイルのダウンロードが開始されると、ダイアログ
ボックスにファイルの名前が表示されます。しかし、場合によっては攻撃者がダイアログ ボックスに実際のファイル名とは異なる名前を表示させることができる可能性があります。これは
Web ページまたは HTML 形式の電子メールによって実行され、ユーザーをだまし、信頼されるソースから安全でない形式のファイルをインストールさせようとする方法で行われる可能性があります。この脆弱性は
Internet Explorer 5.5 および 6 の両方のバージョンに影響を及ぼします。
■入手先
http://www.microsoft.com/japan/technet/security/current.asp
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-058
→「2001年12月13日Internet Explorer用の累積的な修正プログラム(MS01-058)」
お問い合わせ
株式会社 仙南情報技術センター
〒989-1267宮城県柴田郡大河原町字小島2番地1 ショッピングセンターフォルテ1F
【Email】info@jet.ne.jp【TEL】0224-51-0567【FAX】0224-51-0577
|