Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <199911120857.RAA20553@rins.st.ryukoku.ac.jp> Date: Fri, 12 Nov 1999 18:06:27 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK99-33) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************************** Microsoft(R) Security Bulletin Japanese Edition (MSKK99-33) -------------------------------------- "Active Setup Control" 脆弱性 概要 ===================== 悪意あるユーザーが安全でない実行可能ファイルを電子メール メッセージに埋め込み、それを安全なタイプの添付ファイルで あると偽ることを可能にする脆弱性を排除する英語版修正プロ グラムをリリースしました。この問題は、ユーザーが添付ファ イルを開くと、一連の複雑な手順を経て、安全でない実行可能 ファイルが一定の条件下で実行可能になる可能性があるという ものです。 この脆弱性に関して多く寄せられる質問、および英語版修正プ ログラムのダウンロードは、以下のサイト (英語サイト) をご 参照ください。 http://www.microsoft.com/security/bulletins/MS99-048faq.asp 日本語版の修正プログラムは現在準備中です。準備が出来次第 再度ご案内させていただきます。 問題の内容 ==================== 特定の ActiveX コントロールは、キャビネット ファイルの起動 および実行を許可します。これにより、HTML メールが、害のな いタイプのファイルと偽った悪質なキャビネット ファイルを含 む場合があります。ユーザーがこのファイルを開こうとする と、操作は失敗しますが、メール パッケージによっては、ファ イルのコピーが既知の場所に残される場合があります。そうす ると ActiveX コントロールがメールに埋め込まれているスクリ プト経由で使用されてコピーが起動され、悪質なコードが実行 される可能性があります。特定の ActiveX コントロールは、キ ャビネット ファイルの起動および実行を許可します。これによ り、HTML メールが、害のないタイプのファイルと偽った悪質な キャビネット ファイルを含む場合があります。ユーザーがこの ファイルを開こうとすると、操作は失敗しますが、メール パッ ケージによっては、ファイルのコピーが既知の場所に残される 場合があります。そうすると ActiveX コントロールがメールに 埋め込まれているスクリプト経由で使用されてコピーが起動さ れ、悪質なコードが実行される可能性があります。 この脆弱性が悪用される可能性があるのは、HTML メールでのス クリプトを許可し、起動されたプログラムの一時コピーを既知 の場所に格納するメール リーダが使用されていた場合だけで す。このパッチにより、コントロールがローカル コンピュータ からダウンロードされた未署名のキャビネット ファイルを起動 する能力が制限されます。 影響を受けるソフトウェアのバージョン ========================================== 影響を受ける ActiveX コントロールは Microsoft Internet Explorer 4 および 5 に付随しています。 英語版修正プログラムの入手方法 ======================================== - http://windowsupdate.microsoft.com/ - http://www.microsoft.com/msdownload - http://www.microsoft.com/msdownload/iebuild/ascontrol/en/ascontro l.htm 注: Microsoft では、Internet Explorer 4.01 Service Pack 2 以降 のバージョンに対してセキュリティ パッチを製造しています。 このパッケージを Internet Explorer 4.01 Service Pack 1 に適用 しようとすると、修正プログラムをインストールする必要ない というメッセージが表示されます。しかし、Internet Explorer 4.01 Service Pack 1 にも脆弱性は存在するため、Internet Explorer 4.01 SP1 を使用している場合は、最新バージョンの Internet Explorer にアップグレードしてこの問題を解決することをご推 奨いたします。 日本語版の修正プログラムは現在準備中です。準備が出来次第 再度ご案内させていただきます。 ********************************************************************** 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し てください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ けます。また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。