★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 639.html
 ★阿修羅♪
次へ 前へ
IEに2種類のセキュリティ・ホール,組み合わせるとXP SP2も影響を受ける【IT_Pro】
http://www.asyura2.com/0406/it06/msg/639.html
投稿者 クエスチョン 日時 2004 年 10 月 22 日 15:57:14:WmYnAkBebEg4M
 

IEに2種類のセキュリティ・ホール,組み合わせるとXP SP2も影響を受ける【IT_Pro】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041021/151548/

 デンマークSecuniaは現地時間10月20日,Internet Explorer(IE)に2種類の新たなセキュリティ・ホールが見つかったことを公表した。これらを組み合わせると,Windows XP SP2および最新のパッチを適用した環境でも,任意のファイルをダウンロードさせることができるという。

 今回公表されたセキュリティ・ホールは,

(1)ドラッグ・アンド・ドロップに関するセキュリティ・ホール
(2)セキュリティ・ゾーンの制限に関するセキュリティ・ホール

 (1)を発見したのは,「http-equiv」ならびにSecunia。それぞれ独自に発見した。Secuniaでは10月13日にMicrosoftに報告しているという。(2)を発見したのはhttp-equiv。

 (1)を悪用すれば,Webページ上でユーザーがドラッグ・アンド・ドロップしただけで,任意のスクリプトを含むHTMLファイルをダウンロードさせられる。このスクリプトは最も制限が緩い「ローカル コンピュータ ゾーン(マイ コンピュータ ゾーン)」で実行させられる。ただし,XP SP2ではローカル コンピュータ ゾーンでのスクリプト実行を制限するので,(1)だけを悪用した攻撃を受けることはない。

 なお,ドラッグ・アンド・ドロップに関するセキュリティ・ホールは以前にも見つかっているが,今回報告されたものとは異なる(関連記事)。以前のセキュリティ・ホールは,10月13日に公開された「Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)」を適用すれば解消されるが,今回のセキュリティ・ホールは解消されない。

 (2)はWindowsのヘルプ機能を使うことで,セキュリティ制限を回避できるセキュリティ・ホール。インターネット・ゾーンのページから,ローカルのHTMLファイルを実行される恐れがある。(2)については,XP SP2についてもセキュリティ制限を回避される。

 そして,(1)と(2)を組み合わせると,XP SP2においても,インターネット・ゾーンのWebページから,任意のファイルをダウンロードさせることができるという。

 Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは,対策としてアクティブ スクリプトを無効にすることや,別の製品を使うことを挙げている。

◎参考資料
◆Microsoft Internet Explorer Two Vulnerabilities(Secunia)
◆[IE] Internet Explorer のアクティブ コンテンツを無効にする方法(マイクロソフト)

(勝村 幸博=IT Pro)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。