MSIE 5.01 / 5.5 / 6 セキュリティ対応状況

　警告: このファイルは気が向いたときにしかメンテナンスされていません。

　ユーザ/管理者の手間、という観点でまとめてあるので、次のようになっています。

　　○　標準で対応
　　△　patch (修正プログラム) で対応
　　×　patch (修正プログラム) がまだない

　△ については、詳細情報あるいは patch を入手できるページへのリンクを張ってありますので、そちらでご確認ください。 なお、このページの内容は無保証です。

　MS Windows 9x/Me/NT/2000/XP 用の日本語版 IE での話です。build 番号とバージョンとの対応については、 J051655, [IE5] Internet Explorer 5.0 のリリースされたバージョンとビルド番号 も参照してください。 なお、Windows 2000 に標準で塔載されている IE 5 は 5.00.2920.0000 ですが、 5.00.2619.6307 (IE 5.01) とあまりかわっていないような気がします。

　IE 5.5 で何が fix されているのか (いないのか) は実はよくわからないところがありますが、原則として、IE 5.01 SP1 で fix されているものは IE 5.5 でも fix されているとしてあります。

　IE 5.5 SP1 の修正一覧。 5.5 SP1 自身での security fix は存在しないようです。

• [IE5] Internet Explorer 5.0 のリリースされたバージョンとビルド番号

• Internet Explorer 5.01 Service Pack 2 で修正された問題の一覧

• Internet Explorer 5.5 の概要および入手方法

• Internet Explorer 5.5 Service Pack 1 で修正された問題の一覧

• Internet Explorer 5.5 Service Pack 2 で修正された問題の一覧

• Q279330 (MS00-093) は IE 5.5 SP2 fix に入っていませんが、 実際にインストールされているファイルが Q279330 に示されているものより新しいため fix されていると判断しました。 また、 Internet Explorer 5.5 Service Pack 1 で修正された問題の一覧 に Q279330 が含まれているのは間違いだと思います。

• IE 6 については、最近の MS01-xxx に明記されているもの以外はちゃんと修正されているものとして扱っています。ただし IE 6 はもはや Java VM を含んでいませんので、そのあたりは N/A にしてあります。 詳細については Microsoft Java VM についてを参照。

• Internet Explorer 6 のプライバシー機能: IE 6 で実装された、cookie まわりの機能の解説。

• IE 6 SP1

• (IE 6) SP1 のインストール後、Outlook Express で電子メールの添付ファイルを開くことができない (329570)

• Internet Explorer 6 の安全でないファイル (Unsafe File) 一覧に関する情報 (291369)

• Internet Explorer または Windows のアップデート適用後の問題

　関連: MSIE のセキュリティ設定について。 IE 4 の情報は MSIE 4.01 SP2 / 5.01 SP1 / 5.5 SP2 セキュリティ対応状況 (本文書の旧版) を参照してください。 ただし、IE 4 はもはや維持されていません。

No.	内容	IE 5.01 SP4	IE 5.5 SP2	IE 6.0 SP1	特記事項
MS03-040	Internet Explorer 用の累積的な修正プログラム (828750)	△	△	△
MS03-032	Internet Explorer 用の累積的な修正プログラム (822925)	△	△	△
MS03-020	Internet Explorer 用の累積的な修正プログラム (818529)	○	△	△

No.	内容	IE 5.01 SP3	IE 5.5 SP2	IE 6.0 SP1	特記事項
MS03-020	Internet Explorer 用の累積的な修正プログラム (818529)	△	△	△
MS03-015	Internet Explorer 用の累積的な修正プログラム (813489)	△	△	△
MS03-014	Outlook Express 用の累積的な修正プログラム (330994)	△	△	△
MS03-004	Internet Explorer 用の累積的な修正プログラム (810847)	△	△	△
MS02-069	Microsoft VM の問題により、システムが侵害される (810030)	[1]	[1]	[1]	[1] Microsoft Java VM についてを参照。
MS02-068	Internet Explorer 用の累積的な修正プログラム (324929)	○	△	△
MS02-066	Internet Explorer 用の累積的な修正プログラム (Q328970)	△	△	△

No.	内容	IE 5.01 SP2	IE 5.5 SP2	IE 6	特記事項
MS02-065	Microsoft Data Access Components のバッファオーバーランにより、コードが実行される (Q329414)	△[1]	△[1]	△[1]	[1] Windows XP は影響を受けない。 また、patch の適用ではなく、MDAC 2.7 のインストールが望ましい。 詳細はこちらを。 MDAC 2.7 SP1 が登場しているようですが、 何が変化しているのかよくわかっていません。
MS02-058	Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される (Q328676)	△	△	△	IE 6 SP1 で修正されている。
MS02-052	Microsoft VM JDBC クラスの問題により、コードが実行される (Q329077)	△ [1]	△ [1]	△ [1]	[1] Microsoft Java VM についてを参照。
MS02-050	証明書確認の問題により、ID が偽装される (Q328145)	△	△	△	Windows の CryptAPI の問題であり IE の問題ではないが、多くの場面では IE / Outlook / Outlook Express の問題として発現する。
MS02-047	Internet Explorer 用の累積的な修正プログラム (Q323759)	△	△	△	fix を適用すると gopher は無効となる。有効にするには FAQ にあるようにレジストリを設定する。
MS02-027	Gopher プロトコルハンドラの未チェックのバッファにより、攻撃者の任意のコードが実行される (Q323889)	×	×	×	回避方法あり: MS02-047 で fix
MS02-023	2002年5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232)	△	△	△
MS02-022	MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661)	[1]	[1]	[1]	[1] IE の弱点ではないが、IE を経由して攻撃を受ける可能性がある。
MS02-015	2002年3月28日 Internet Explorer 用の累積的な修正プログラム	△	△	△	IE 5.5 SP1 用 patch も用意されている。 IE 5.01 SP2 は Windows NT/2000 のみサポート。
MS02-013	Java アプレットがブラウザトラフィックをリダイレクトする	△ [1]	△ [1]	N/A [1]	[1] Microsoft Java VM についてを参照。
MS02-009	Internet Explorer の不正な VBScript 処理により Web ページがローカルファイルを読み取る	△	△	△
MS02-008	XMLHTTP コントロールにより、ローカルファイルにアクセスすることができる	○	○	△	MSIE6 can read local files の話。 IE 6 には MSXML 3.0 (msxml3.dll) が入っている。
MS02-005	2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム	△ [1]	△	△	修正されている問題: dH & SECURITY.NNOV: buffer overflow in mshtml.dll, IE GetObject() problems , Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug, fusianasanトラップになんらかの対処を [1] Windows 2000 用のみ。
MS01-058	2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム	×	△	△	MS01-055 を含む。 3 番目の問題は RE: File extensions spoofable in MSIE download dialog だと考えられる。 IE 5.5 SP3, IE 6 SP1 で fix。
MS01-055	Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される	○	△	△	Microsoft IE cookies readable via about: URLS の件。 回避方法: [memo:1866]
MS01-051	不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう	△	△	△	patch をあてても問題が残ると指摘されている 件は、MS01-055 patch で修正された。
MS01-027	Web サーバー証明書検証の問題により Web サイトの偽装が可能になる	△	○ (SP2)	○ [1]	MS01-015 (IE 5.5 のみ) MS01-020 を含む。 [1] フル インストールまたは標準インストールしないと、脆弱な旧版 IE から脆弱性を引きついでしまうので注意。 IE 5.5 SP1 用 patch
MS01-020	不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する	○ (SP2)	○ (SP2)	○ [1]	MS01-027 に含まれる。 [1] フル インストールまたは標準インストールしないと、脆弱な旧版 IE から脆弱性を引きついでしまうので注意。 IE 5.5 SP1 用 patch
MS01-017	VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性	△	△	○	IE 6, Windows 2000 SP2, Windows XP ではこの問題はない。
MS01-015	Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう	○ (SP2)	○ (SP2) [1]	○	CAN-2001-0002, CAN-2001-0148, CAN-2001-0149, CAN-2001-0150 Georgi Guninski security advisory #28, #31 #22 [1] WSH patch: 5.1, 5.5。 IE 5.01 SP1/5.5 SP1 用 patch
MS01-012	Outlook と Outlook Express の vCard ハンドラが問題のあるバッファを含む	○ (SP2)	○ (SP2)	○	IE 5.5 SP1 patch。
MS00-093	「印刷テンプレート」「フォームによるファイルアップロード」「Scriptlet レンダリング」「フレームドメイン確認」の脆弱性	○ (SP2)	○ (SP2)	○	bugid 1636: MSIE Navigate Function Cross Frame Access Vulnerability、 bugid 1978: MSIE 5.5 Index.dat Vulnerability。 IE 5.01 SP1, 5.5, 5.5 SP1 のみ適用可。 IE 5.5/5.5SP1 patch
MS00-085	"ActiveX Parameter Validation" Vulnerability	[1]	[1]	○	[1] Windows 2000 でのみ発生。 MS Windows NT 4.0 / Windows 2000 セキュリティ対応状況を参照。
MS00-081	「VM のファイルの読み取り」の脆弱性	○ (SP2) [1]	○ (SP2) [1]	N/A [1]	BUGTRAQ bugid 1812: Microsoft Virtual Machine Arbitrary Java Codebase Execution Vulnerability の fix と推測。 [1] Microsoft Java VM についてを参照。
MS00-076	「キャッシュされた Web アカウント情報」の脆弱性	○ (SP2)	○	○
MS00-075	"Microsoft VM ActiveX Component" 脆弱性	△ [1]	△ [1]	N/A [1]	IE 5.5/Outlook security vulnerability - com.ms.activeX.ActiveXComponent allows executing arbitrary programs の fix だと推測。 アクティブスクリプティング、Java、Java アプレットのスクリプト、のいづれかを停止すれば回避できる。 [1] Microsoft Java VM についてを参照。
MS00-059	"Java VM Applet" 脆弱性	△ [1]	△ [1]	N/A [1]	Brown Orifice 類似の Microsoft Explorer Java Security BUG の fix のようだ。 3314 security patch を適用しても jview の出力は変化しないようだ。 build 3316 以降で fix されている。 [1] Microsoft Java VM についてを参照。
MS00-055	"Scriptlet Rendering" 脆弱性	○ (SP2)	○ (SP1)	○	MS00-033, 039, 049 (IE 5.5 では 042 も) の patch を含む。 IE 5.5 patch
MS00-049	"The Office HTML Script" 脆弱性, "The IE Script" 脆弱性	[1]	[1]	○	[1] MS00-055 に含まれる。
MS00-046	"Cache Bypass" 脆弱性	○[1]	○[1]	○	IE and Outlook 5.x allow executing arbitrary programs using .eml files および Force Feeding の fix で、 MS00-037 の fix も含まれるようだ。 前者 (.eml) についてはアクティブスクリプティングを無効とすることで回避できる。 [1] これらに含まれる Outlook Express 5.5 以降のインストールによって fix される。 Windows 2000 においては IE 5.5 の Outlook Express 5.5 をインストールできないので、まず IE 5.01SP1 以降のインストールによって Outlook Express 5.5 をインストールし、その後 IE 5.5 をインストールする。 あるいは、Windows 2000 SP2 (IE 5.01 SP2 を含む) 以降をインストールする。
MS00-045	"Persistent Mail-Browser Link" 脆弱性	○[1]	○[1]	○	Outlook Express 5 vulnerability - Active Scripting may read email messages の fix と思われる。 アクティブスクリプティングを無効とすることで回避できる。 [1] これらに含まれる Outlook Express 5.5 のインストールによって fix される。 Windows 2000 においては IE 5.5 の Outlook Express 5.5 をインストールできないので、まず IE 5.01SP1 のインストールによって Outlook Express 5.5 をインストールし、その後 IE 5.5 をインストールする。
MS00-043	"Malformed E-mail Header" 脆弱性	○[1]	○[1]	○	Buffer Overflow in MS Outlook Email Clients, Remotely Exploitable Buffer Overflow in Outlook "Malformed E-mail MIME Header" Vulnerability の fix。 [1] これらに含まれる Outlook Express 5.5 のインストールによって fix される。 Windows 2000 においては IE 5.5 の Outlook Express 5.5 をインストールできないので、まず IE 5.01SP1 のインストールによって Outlook Express 5.5 をインストールし、その後 IE 5.5 をインストールする。
MS00-042	"Active Setup Download" 脆弱性	○?!	[1]	○	SOFTWARE BACK DOOR ? (2000.02.07) の fix と推測。 「署名済み Active X コントロールのダウンロード」を無効にすれば回避できる。 [1] MS00-055 に含まれる。
MS00-039	"SSL Certificate Validation" 脆弱性	[1]	[1]	○	[1] MS00-055 に含まれる。
MS00-037	"HTML Help File Code Execution" 脆弱性	○[1]	○[1]	○	IE 5.x allows executing arbitrary programs using .chm files の fix と思われる。 アクティブスクリプトを無効とすることで回避できる。 MS00-046 fix に含まれるようだ (Windows 2000 World Oct 2000 p.158 [月刊] セキュリティレポート No.9)。 [1] これらに含まれる Outlook Express 5.5 のインストールによって fix される。 Windows 2000 においては IE 5.5 の Outlook Express 5.5 をインストールできないので、まず IE 5.01SP1 のインストールによって Outlook Express 5.5 をインストールし、その後 IE 5.5 をインストールする。
MS00-033	"Frame Domain Verification" 脆弱性, "Unauthorized Cookie Access" 脆弱性, "Malformed Component Attribute" 脆弱性	[1]	[1]	○	この patch には MS99-054 の新種に対する fix も含まれている。 [1] MS01-027 に含まれる。
MS00-011	Java "VM File Reading" 脆弱性	○[1]	○[1]	N/A [1]	NEC 中村さんの指摘の fix だが、 Warning: Yet Another Security Hole of `Microsoft VM for Java' の fix も含まれている。 Microsoft JavaVM をインストールしていない場合は問題ない。 [1] Microsoft Java VM についてを参照。
MS00-009	"Image Source Redirect" 脆弱性	○	○	○	IE 5 security vulnerablity - circumventing Cross-frame security policy and accessing the DOM of "old" documents (2000.01.07) の fix か?
Q250316	Document.LastModified Returns Invalid Date	○	○	○	MSHTML 問題の修正の全てを含んでいるわけではないので注意。 まずMSHTML 問題の修正を行い、つづいて本問題の修正を行うのが正解。
Q247367	IE 5.01 Schannel.dll の問題	○?	○?	○	IE 5.01 もしくは NT 4.0 SP6a で発生。
MS99-054	WPAD Spoofing 問題	○	○	○	MS00-033 に含まれる?
MS99-051	IE 5 タスク スケジューラの問題	○	○	○
MS99-050 (Q246094)	サーバー側参照リダイレクト脆弱性	○?	○?	○	ImportExportFavorites 問題、お気に入り (Malformed Favorites Icon) 問題の修正を含む。 IE 5.0 vulnerabilities using HTTPredirection の fix か?
MS99-048	Active Setup Control の問題	○	○	○
MS99-043	JavaScript Redirect 問題	○	○	○
MS99-042	IFRAME ExecCommand の脆弱性	○	○	○
MS99-040	Download Behavior の脆弱性	○	○	○	MS99-042 に含まれる
MS99-037	ImportExportFavorites 問題	○	○	○
MS99-032	Scriptlet.typelib および Eyedog 問題	○	○	○
MS99-031	Virtual Machine Sandbox 問題	○	○	N/A	Microsoft Java VM についてを参照。
MS99-018	お気に入り (Malformed Favorites Icon) 問題	○	○	○
MS99-012	MSHTML 問題	○	○	○	Cross Frame Navigate 問題、Untrusted Scripted Paste 問題、および Frame Spoof 問題を回避するための修正を含む
MS99-011	DHTML Edit Control 問題	○	○	○
MS98-016	Dotless IP Address 問題	○	○	○