Spur 困った相談箱

HOME HELP 新規作成 新着記事 トピック表示 発言ランク 検索 過去ログ

[ 親記事をトピックトップへ ]

このトピックに書きこむ
Pass/

[トピック内全1記事(1-1 表示)] 全ページ数 / [0]

■247 /inTopicNo.1)  緊急!IE5.01、5.5、6でWeb サイトを参照するか、またはHTML 形式の電子メールを開いた場合PCが操作される危険 (813489) (MS03-015)2003/5/2
    □投稿者/ Spur 付き人(94回)-(2003/04/24(Thu) 17:07:10)

      ★対象となるユーザー
      Microsoft Internet Explorer
      新たに4つの脆弱性が見つかりました。
      最も深刻な脆弱性については、ユーザーが悪質なWeb サイトを参照するか、または特別に作成された HTML 形式の電子メール メッセージを開いた場合、攻撃者にユーザーのシステムで任意のコードが実行される可能性があります。

      ★最大深刻度 : 緊急
      推奨する対応策 : お客様は修正プログラムを直ちにインストールして下さい。

      ★影響を受けるソフトウェア
      Microsoft Internet Explorer 5.01
      Microsoft Internet Explorer 5.5
      Microsoft Internet Explorer 6

      ★技術的な説明
      URLMON.DLL のバッファ オーバーランの脆弱性。この脆弱性は、Internet Explorer が Web サーバーから受け取った情報の通信リクエストのパラメータが適切にチェックされないために起こります。攻撃者がこの脆弱性を悪用し、ユーザーのシステムで任意のコードを実行する可能性があります。ユーザーが攻撃者の Web サイトを単に訪問しただけで、その他のユーザーの操作なしで、攻撃者によってこの脆弱性が悪用される可能性があります。
      スクリプトからの入力をアップロード コントロールに渡す Internet Explorer ファイル アップロード コントロールの脆弱性。攻撃者はこの脆弱性を悪用し、自動的にファイル名をファイル アップロード コントロールに入力し、ユーザーのコンピュータからファイルを Web サーバーに自動的にアップロードする可能性があります。
      Internet Explorer がサード パーティのファイルの表示 (レンダリング) を処理する方法に存在する問題。Internet Explorer がサード パーティのファイルの種類を表示する方法では、Internet Explorer に渡されるパラメータが適切にチェックされないためにこの問題が起こります。攻撃者は、サード パーティのファイル形式の表示の処理中にスクリプトが挿入される不正な URL を作成し、ユーザーのセキュリティ コンテキストでスクリプトが実行されるように操作する可能性があります。
      Internet Explorer がモーダル ダイアログを処理する方法に存在する問題。この問題は、入力パラメータが適切にチェックされないために起こります。この問題により、攻撃者は挿入したスクリプトを悪用し、ユーザーのコンピュータ上に保存されたファイルへアクセスする可能性があります。ユーザーが攻撃者の Web サイトを訪問した場合、その他のユーザーの操作なしで、攻撃者にこの脆弱性が悪用される可能性がありますが、攻撃者が自分の Web サイトにユーザーを強制的に訪問させることはできません。
      この修正プログラムは、上記の脆弱性を排除するだけでなく Internet Explorer 6 SP1 の修正も行い、Internet Explorer がローカル コンピュータ ゾーンでヘルプ情報を表示する方法を修正します。マイクロソフトはこの脆弱性が自動的に悪用される方法は確認していませんが、悪用された場合、攻撃者により、訪問しているユーザーのコンピュータ上のローカル ファイルが読み取られる恐れがあります。
      また、この修正プログラムはセキュリティ上の脆弱性が存在する Plugin.ocx ActiveX コントロールに Kill Bit を設定します。この Kill Bit は、この脆弱性の影響を受けるコントロールがユーザーのコンピュータに再度インストールされないようにし、また既にそのコントロールがコンピュータにインストールされているユーザーを保護するために設定されました。この問題の詳細はマイクロソフト サポート技術情報 813489 で説明されています。

      ★情報源
      http://www.microsoft.com/japan/technet/security/bulletin/MS03-015.asp

      至急Windows updateをしてください。


    →親記事 / 引用返信 / チェック-




このトピック内容の全ページ数 / [0]

HOME HELP 新規作成 新着記事 トピック表示 発言ランク 検索 過去ログ

- Child Tree -