★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 552.html
 ★阿修羅♪
次へ 前へ
OutlookExpressって使いやすいですか?
http://www.asyura2.com/0406/it06/msg/552.html
投稿者 クエスチョン 日時 2004 年 10 月 12 日 00:02:54:WmYnAkBebEg4M
 

(回答先: 教えてください 投稿者 戦争屋は嫌いだ 日時 2004 年 10 月 11 日 16:54:52)

OutlookExpressって使いやすいですか?


 小生、会社でも自宅でも別のメーラーを使っています。(セキュリティのために具体名は伏せます。具体的名が知られると攻撃者に材料を与えることになります。ブラウザよりもはるかに危険と思います。)

 OutlookExpressはセキュリティ的にも大分問題があるようですが、使いやすいですか。


※なお、「Outlook Express」で全阿修羅検索した結果です。最後は、たどった関連記事です。表題になくても文中で「Outlook Express」の脆弱性が話題になっています。

Outlook Expressに「BCC」のアドレスを表示してしまう不具合【IT_Pro記事】何の為のBCCやら、、。(
http://www.asyura2.com/0406/it06/msg/164.html
投稿者 クエスチョン 日時 2004 年 8 月 25 日 23:22:38:WmYnAkBebEg4M


そろそろIEを捨てる時?【IT_Media記事】もう耳にたこだが、陰謀系サイト常連さんのIE利用率は?(笑)
http://www.asyura2.com/0406/it06/msg/211.html
投稿者 クエスチョン 日時 2004 年 9 月 03 日 21:00:50:WmYnAkBebEg4M


攻撃コードが既に出現,Windowsの“超特大”級セキュリティ・ホールを解説する【IT_Pro記事】
http://www.asyura2.com/0311/it04/msg/1017.html
投稿者 クエスチョン 日時 2004 年 2 月 20 日 19:56:03:WmYnAkBebEg4M

 これを見ると,「サーバーの方が危険」とは言い切れないことが分かる。
クライアントでも,IEやOutlookを使っている場合や,ネットワークに接
続してWindows資源を共有している場合には,十分危険であることが分か
る。つまり,ほとんどのクライアント・マシンが攻撃対象になりうる。

 同情報に記載されたクライアント・アプリケーションにはとどまらない。
デジタル証明書でもASN.1を使うので,「Outlook Express」などのように,
デジタル証明書を使用するアプリケーションも影響を受けるのだ。例えば
OutlookやOutlook Expressに対しては,メールの本文を開くだけで,ある
いはプレビュー・モードで表示するだけで,システムを乗っ取られるよう
な攻撃が可能であると考えられる。


Windowsにとても危険なセキュリティ・ホール,仕事前にまずは対策を【IT_Pro記事】
http://www.asyura2.com/0311/it04/msg/968.html
投稿者 クエスチョン 日時 2004 年 2 月 11 日 20:27:17:WmYnAkBebEg4M


後を絶たないIEのセキュリティ・ホール,設定変更などで“自衛”を 続々見つかるパッチの不具合,パッチ未公開のホールを狙うウイルスも【ITPro 記事)】
http://www.asyura2.com/0311/it04/msg/152.html
投稿者 クエスチョン 日時 2003 年 10 月 16 日 23:40:08:WmYnAkBebEg4M

IEとOutlook Expressに「緊急」のセキュリティ・ホール,Windows Updateの実施を
任意のコードを実行させられる恐れあり
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030424/1/

 マイクロソフトは4月24日,Internet Explorer(IE)とOutlook Expressに,それぞれ深刻なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページやHTMLメールを閲覧すると,ユーザーのマシン上で任意のコードを実行させられる恐れがある。対策はパッチを適用すること。「Windows Update」から適用できる。深刻度はいずれも最悪の「緊急」なので,早急に対応したい。なお,いずれのパッチも,過去のパッチを含む“集積”パッチである。

IEには4種類のセキュリティ・ホール

 今回公開されたIEのセキュリティ・ホールは以下の4種類。

(1)Webサーバーと通信する「URLMON.DLL」のバッファ・オーバーフロー
(2)ファイル・アップロード・コントロールのぜい弱性
(3)サード・パーティのファイルのレンダリングに関するぜい弱性
(4)モーダル・ダイアログを処理する方法に存在するぜい弱性

 (1)を悪用するWebページにユーザーがアクセスすると,IEのコンポーネントの一つであるURLMON.DLLにバッファ・オーバーフローを引き起こされ,任意のコード(プログラム)を実行させられる恐れがある。(2)および(4)を悪用するページへアクセスすると,ユーザー・マシン内のファイルを読み取られる(アップロードさせられる)恐れがある。

 (3)を悪用するページへアクセスすると,任意のスクリプトを実行させられる恐れがある。このとき,たとえそのページのWebサイトが「インターネット ゾーン」であっても,最も制限が緩い「ローカル コンピュータ ゾーン」でスクリプトは実行されてしまう。なお,いずれのセキュリティ・ホールも,HTMLメールを使って悪用される場合もある。

 それぞれの深刻度は(1)(3)(4)が最悪の「緊急」,(2)は上から2番目の「重要」である(ただし,米Microsoftの情報では上から3番目(下から2番目)の「Moderate」に設定されている)。

 影響を受けるのは,IE 5.01 SP3(Windows 2000版)/IE 5.5/IE 6/IE 6 SP1。ただし,これら以外のバージョンについては,サポート対象外なのでセキュリティ・ホールが存在するかどうか分からないとしている。

 対策はパッチの適用。同社サイトからダウンロードできるとともに,Windows Updateからも適用できる。IE 5.01 SP3用パッチはWindows 2000の,IE 6用パッチはWindows XPのマシンにしか適用できないので注意が必要。なお,今回公開されたパッチは,今までに公開されたIEのパッチを含む集積パッチである。

Outlook ExpressのMHTMLハンドラにホール

 Outlook Expressに見つかったセキュリティ・ホールは,「MHTMLのURLハンドラ」に関するもの。WebページやHTMLメールに書かれた,ある特定のリンクをクリックすると,悪質なスクリプトを「ローカル コンピュータ ゾーン」で実行させられる恐れがある。

 MHTMLとは,画像などが張り込まれたHTMLコンテンツ(Webページ)を一つのファイルとして扱うためのフォーマットである。MHTMLを使えば,複数の画像などを含むWebページ全体を一通のHTMLメールとして送信することができる。

 URLハンドラとは,あるアプリケーションをWebページなどから起動できるようにする機能のこと。例えば,Outlook 2002をシステムにインストールすると,Outlook 2002は URLハンドラ「outlook://」として登録される。このURLハンドラを使えば,リンクをクリックすることでOutlook 2002を起動できる。今回問題となったURLハンドラは「MHTML://」であり,Outlook Expressが処理する。

 「MHTML://」で指定したファイルは,そのファイル形式にかかわらず,HTMLファイルとして処理(レンダリング)される。これが今回問題となった。例えば,スクリプトが記述されたテキスト・ファイル(.txt)をMHTML://で指定すると,そのスクリプトが実行されてしまう。しかも,「MHTML://」のリンクが書かれているWebページが「インターネット ゾーン」であっても,最も制限が緩い「ローカル コンピュータ ゾーン」でスクリプトは実行されてしまう。

 ただし,今回のセキュリティ・ホールを悪用して可能なことは,ユーザー・マシンに既に存在するスクリプト・ファイルを起動することだけである。過去に公開された「MS03-004」のパッチ(および,これを含む「MS03-015」のパッチ)を適用している場合には,任意のスクリプト・ファイルを送り込まれて実行させられる恐れはない。

 セキュリティ・ホールが確認されているのは,Outlook Express 5.5 および 6.0/6.0 SP1。ただし,これらよりも古いバージョンについては検証されていない。

 対策はパッチを適用すること。Windows Updateから適用できる。同社サイトからダウンロードすることもできる。なお,Outlook Express 6.0用のパッチは,Windows XP(SP1を適用していない環境)にしか適用できない。また,今回のパッチには,過去に公開された「MS02-058 : Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される (Q328676) 」が含まれる。

 パッチを適用すれば,MHTMLフォーマットに関係する「.MHT」あるいは「.MHTML」以外のファイルは,「MHTML://」で呼び出せなくなる。

 なお,Outlook Expressをメール・ソフトとして使用していなくても,マシンにインストールされていれば,今回のセキュリティ・ホールの影響を受ける。

◎参考資料
◆「MS03-014: Outlook Express 用の累積的な修正プログラム (330994) 」に関する要約情報
◆「MS03-015: Internet Explorer 用の累積的な修正プログラム (813489) 」に関する要約情報
◆MS03-015:Cumulative Patch for Internet Explorer (813489)
◆MS03-014:Cumulative Patch for Outlook Express (330994)

(勝村 幸博=IT Pro)

 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。