Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <199910121243.VAA06310@rins.st.ryukoku.ac.jp> Date: Tue, 12 Oct 1999 21:49:53 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK99-23) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************************** Microsoft(R) Security Bulletin Japanese Edition (MSKK99-23) -------------------------------------- "IFRAME ExecCommand" 脆弱性に対する回避策 の問題 概要 ==== Microsoft では、一定の状況下で、サイトを訪問したユーザー のコンピュータ上のファイルを、悪意ある Web サイト オペレ ータが読み取ることを可能にする、Microsoft(R) Internet Explorer 5 の脆弱性に関する情報を得ました。Microsoft で は、この脆弱性を排除する修正プログラムを開発中です。当面 の、一時的な回避策について、以下で述べます。 問題の内容 =========== Internet Explorer 5 セキュリティ モデルは、通常、 Document.ExecCommand() メソッドを制限して、ユーザーのコン ピュータ上で不適切な動作をとらないようにします。しかし、 このメソッドが IFRAME 上で呼び出される場合は、これらの制 限のうち、少なくとも 1 つが存在しません。これにより、ファ イルとそれが含まれているフォルダの名前がわかれば、悪意あ る Web サイト オペレータが訪問者であるユーザーのコンピュ ータ上のファイル内容を読むことが可能になる恐れがありま す。 ただし、この脆弱性により、悪意あるユーザーがフォルダの内 容を表示したり、ファイルを作成、修正、削除したり、マシン に対する管理上の制御を奪ったりすることはできません。 影響を受けるソフトウェアのバージョン ==================================== - Microsoft Internet Explorer 5 回避策 ====== パッチ開発中の暫定的な手段として、Microsoft では、信頼で きるサイトを [信頼済みサイト] に追加し、[インターネット ゾーン] のアクティブ スクリプトを無効にすることを、お客様 にお勧めします。これにより、すべての信頼されているサイト に対して完全な機能が提供されると共に、信頼されていないサ イトがこの脆弱性を不当に利用することを避けることができま す。下記サイトでは、これを行う方法、および、セキュリティ ゾーンの一般的な管理方法に関する詳細が提供されています。 この脆弱性に関する多く寄せられる質問については、 http://www.microsoft.com/security/bulletins/MS99- 042faq.asp をご覧ください。 ********************************************************************** 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し てください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ けます。また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。