★阿修羅♪ 現在地 HOME > 掲示板 > IT3 > 127.html
 ★阿修羅♪
次へ 前へ
IEに危険なセキュリティ・ホール,WebページやHTMLメールを見るだけで被害を受ける【上記パッチが出たみたいです。】
http://www.asyura2.com/2us0310/it03/msg/127.html
投稿者 クエスチョン 日時 2003 年 10 月 06 日 14:19:01:WmYnAkBebEg4M

(回答先: セキュリティホール memoからリンクをたどってください。上記登校文からだと分りにくい。 投稿者 クエスチョン 日時 2003 年 10 月 05 日 11:44:04)

>今回のパッチは,今までに公開されたIE用のパッチをすべて含む“累積パ
>ッチ”である。加えて,8月21日に公開されたセキュリティ・ホールの一
>つである「オブジェクト タグの脆弱性」も修正できる。このセキュリテ
>ィ・ホールは,8月21日に公開した「MS03-032」のパッチで修正できると
>していたが,実際には修正できないことが明らかとなっている(関連記事)。

2003年8月20日(米国日付)にリリースしたパッチが実は不十分で穴を塞げ
ていなかったというお粗末に対するパッチが再リリースされたと言うドタ
バタ劇。

IEに危険なセキュリティ・ホール,WebページやHTMLメールを見るだけで被害を受ける【上記パッチが出たみたいです。】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20031005/135316/

今回の累積パッチでは,過去のパッチでふさげなかったセキュリティ・ホ
ールも修正
 マイクロソフトは10月4日,Internet Explorer(IE)5.01以降に見つか
った「緊急」のセキュリティ・ホールを公開した。細工が施されたWebペ
ージにアクセスするだけで,ウイルスをはじめとする任意のプログラム
(コード)を実行させられる恐れがある。そのようなサイトのURLがHTML
メールに仕込まれている場合には,HTMLメールを開くだけで同様の被害を
受ける可能性もある。

 対策はパッチを適用すること。Windows Updateおよびセキュリティ情報
のページから適用できる。今回公開されたパッチは,IEに関する累積パッ
チ。過去のパッチではふさげなかった特定のセキュリティ・ホールも修正
できる(関連記事)。

 今回のセキュリティ・ホールは,Webサイトへアクセスした際にWebサー
バーから送られてくるHTTPレスポンス中のパラメータを,IEが適切にチェ
ックしないことが原因である。このため,本来はダウンロードおよび実行
してはいけないコンテンツ(プログラム)を,安全なコンテンツ(画像や
HTMLファイル)だと誤認して,勝手にダウンロードおよび実行してしまう
恐れがある。

 つまり,細工が施されたWebページにアクセスするだけで,ユーザーに
許可を求めることなく,任意のプログラムを実行させられる恐れがある。
HTMLメール中にそのようなページのURLが仕込まれていると,HTMLメール
を読むだけでそのようなWebページに誘導されて被害を受ける可能性があ
る。

 対策はパッチを適用すること。「Windows Update」にアクセスすれば適
用できる。セキュリティ情報のページからもダウンロードできる。パッチ
は,IE 5.5 SP2,IE 6/IE 6 SP1,および Windows 2000 SP3/SP4 で稼
働するIE 5.01 に適用できる。

 今回のパッチは,今までに公開されたIE用のパッチをすべて含む“累積
パッチ”である。加えて,8月21日に公開されたセキュリティ・ホールの
一つである「オブジェクト タグの脆弱性」も修正できる。このセキュリ
ティ・ホールは,8月21日に公開した「MS03-032」のパッチで修正できる
としていたが,実際には修正できないことが明らかとなっている(関連記
事)。

 今回公開されたセキュリティ・ホールは,「オブジェクト タグの脆弱
性」に酷似しているが,マイクロソフトが公開する「MS03-032」の情報で
は,「マイクロソフトはこれらの報告を調査しこれらの問題の修正プログ
ラムとともに,新しいセキュリティ情報を公開しました。これらの問題は,
セキュリティ情報 MS03-040に含まれます」としているので,別物だと考
えられる(ここで,「これらの問題」とは,「MS03-032」のパッチで「オ
ブジェクト タグの脆弱性」を修正できないということと,「MS03-032」
のパッチを適用すると,ASP .NET 1.0のプログラムが動作しなくなること
を指す)。

 なお,過去に公開されたIEの累積パッチ同様,今回のパッチを適用する
と,HTMLヘルプ機能のいくつかを使用できなくなる。「マイクロソフト
サポート技術情報 811630」に記載されているように,Windows Updateか
ら「811630 : 重要な更新」を適用すれば,パッチ適用後も HTMLヘルプ機
能を使用できる。

 同日,マイクロソフトはWindows Media Playerに関する「マイクロソフ
ト サポート技術情報 - 828026」も公開した。これはセキュリティ・パッ
チではないとしながらも,今回の「MS03-040」のパッチと同時にインスト
ールすることを勧めている。同技術情報のページからダウンロードできる。
この「Windows Media Player の更新」を適用すれば,Windows Media
Playerから任意のWebページを開かされることを防げるという。「Windows
Media Player の更新」は,Windows Updateからも適用できる。

◎参考資料
◆「Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)」
◆「MS03-040 Cumulative Patch for Internet Explorer (828750)」(英語情報)
◆「絵でみるセキュリティ情報 MS03-040 : Internet Explorer の重要な更新」
◆「サポート技術情報 - 828026 Update for Windows Media Player Script Commands」(英語情報)

(勝村 幸博=IT Pro)

 次へ  前へ

IT3掲示板へ


フォローアップ:
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。