★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 693.html
 ★阿修羅♪
次へ 前へ
Windows HotFix Briefings(11月05日版)IEの脆弱性、XPSP2の不具合情報など【@IT】
http://www.asyura2.com/0406/it06/msg/693.html
投稿者 バルタン星人 日時 2004 年 11 月 05 日 08:01:54:akCNZ5gcyRMTo
 

Windows HotFix Briefings
(2004年11月05日版)
―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――
http://www.atmarkit.co.jp/fwin2k/hotfix/indexpage/index.html

DA Lab Windowsセキュリティ
2004/11/05

--------------------------------------------------------------------------------

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[脆弱性情報]
重大なIEの脆弱性が相次いで報告

情報の内容 IEの脆弱性情報
情報ソース Secuniaなど
報告日 −
対象環境 Internet Explorer 6
 リモート・コード実行を可能にするなど、万一攻撃された場合は影響が大きいInternet Explorerの脆弱性がセキュリティ情報サイトなどで相次いで報告された。いずれもまだマイクロソフトから修正プログラムが提供されていないものだ。実証コードが公開されているものもあるので、システム管理者は注意が必要だ。

 2004年10月20日、Secuniaは、IE 6 SP2(Windows XP SP2に付属するIE)にドラッグ・アンド・ドロップとセキュリティ・ゾーンの制限にそれぞれ脆弱性が存在することをレポートした。このうち「ドラッグ・アンド・ドロップの脆弱性」は、インターネット・ゾーンのWebページ上に配置されたイメージやメディア・ファイルをローカルにドラッグ・アンド・ドロップする場合の検証が十分ではなく、攻撃用スクリプトがローカル・コンピュータ・ゾーンで実行されてしまうというもの。「セキュリティ・ゾーンの制限の脆弱性」は、HTMLファイルに埋め込んだヘルプ・コントロール機能の悪用により、ユーザーのブラウザ・セッション内で攻撃用スクリプトが実行されてしまうというものだ。

Microsoft Internet Explorer Two Vulnerabilities[英文](Secunia)

 さらにSecuniaは、2004年11月4日に「IFRAMEバッファオーバーフローの脆弱性」を報告した。こちらは深刻度が最大の“Extremely critical”にされている。IFRAMEタグの処理部分に未チェックバッファがあり、攻撃者によるリモート・コード実行の危険がある。

Internet Explorer IFRAME Buffer Overflow Vulnerability[英文](Secunia)

 ただしこちらはIE 6 SP2には影響がない。Windows XP SP2をまだ適用せずにIE 6を利用している場合や、Windows 2000でIE 6を利用している場合は影響を受ける。

 これらの脆弱性に対する修正プログラムはまだ提供されていない。スクリプト実行の禁止措置や、(Windows XPユーザーの場合は)Windows XP SP2の適用などを検討するとともに、今後のウイルスやワーム情報に注意する必要があるだろう。


 
[不具合情報]
XP SP2の適用で、CSVファイルのダウンロード保存先が指定できなくなる

情報の内容 不具合情報
情報ソース セキュリティ情報BBS
報告日 2004/10/29
対象環境 Windows XP SP2
 セキュリティ情報BBSのHotFix Report BBSへの報告によれば、Windows XP SP2を適用後、Webページ内の.CSVファイルへのリンクをクリックし、ファイルのダウンロードを行おうとしても、ダウンロード先を指定するダイアログが表示されず、IEウィンドウでしか表示されなくなるという不具合がある。

XP SP2適用後にIEでCSVファイルがダウンロード時に保存先指定できない?(HotFix Report BBS)

 本来、デフォルトでは、ファイルのリンクをクリックした時点で、そのまま実行するか、ファイルに保存するかを問い合わせるダイアログが表示されなければならない。この処理は、エクスプローラのファイル・オプション(エクスプローラの[ツール]−[フォルダ オプション]から表示されるダイアログの[ファイルの種類]タブで拡張子を選択し、[詳細設定]ボタンをクリックして表示されるダイアログの[ダウンロード後に開くを確認をする]チェック・ボックス)によって動作が規定されるもので、デフォルトでは[ダウンロード後に開くを確認をする]チェック・ボックスはオンになっており、ダイアログが表示される。

 上記の不具合は、拡張子.CSVの[ダウンロード後に開くを確認をする]チェック・ボックスをオンにしていても発生する。この問題を回避するには、.CSVだけでなく、.CSVのオープン用として設定されているアプリケーションのデフォルト拡張子(例えばExcelなら.XLS)に対しても[ダウンロード後に開くを確認をする]チェック・ボックスをオンにする。

 投稿によれば、業務Webアプリケーションを運用しており、データベースの検索結果のデータをCSV形式でクライアントに送信する場合などに問題が発生することがあるという。XP SP2の適用によって.CSVに関連するWebアプリケーションの挙動が変化したという場合には、この問題を疑ってみる必要があるだろう。


 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。