Broadband Watch logo
最新ニュース
【 2009/12/25 】
初詣に参拝できるiPhone向けアプリ「i神社」
[18:46]
GyaO!、千葉真一主演の映画「戦国自衛隊」などを無料配信
[18:27]
NTT東、フレッツ・ADSLやひかり電話ルータ利用者に誤請求
[17:50]
総務省調査、NTT東西のブロードバンド契約数シェアは51.1%
[17:29]
Cerevo、写真管理サービス「CEREVO LIFE」でプリント注文に対応
[17:11]
「Yahoo!テレビ.Gガイド」の日テレ番組内に“公式情報”追加
[15:31]
ServersManと連携できるカメラアプリがスマートフォン対応に
[14:53]
「ウサビッチ」制作会社の新作アニメ「やんやんマチコ」無料配信
[14:26]
はてなブックマーク、コメント一覧を表示できるブログパーツ
[13:55]
グリー、PC版「GREE」でFlashゲームの提供を開始
[13:21]
NHKオンデマンド、「第60回 紅白歌合戦」を期間限定で配信
[11:54]
【 2009/12/24 】
GyaO!、アニメ「テガミバチ」や「赤ちゃんと僕」を無料配信
[18:46]
アニメワン、「うみねこのなく頃に」全26話を期間限定で無料配信
[18:39]
大和ハウス工業、Twitterクライアント搭載の家型アプリ
[18:03]
PS Store、アーカイブスで「NOeL NOT DiGITAL」など5タイトル
[17:49]
USEN、ISP事業をSo-netに譲渡
[17:33]
ニコ生、ユーザー生放送などでもタイムシフト機能が利用可能に
[16:40]
テレ朝の新ドラマ「宿命」第1話のネット無料試写会、1月13日から
[16:17]
ロジテック、FM放送に特化したPCラジオチューナー「LRT-FM200U」
[14:23]
リンクシェア、ブックマークレット機能で
TwitterとFacebook連携
[14:03]
アイ・オー、LAN DISK HomeでUSB機器共有の無料提供キャンペーン
[12:45]
フジテレビ On Demand、「不毛地帯」前半10話を一挙配信開始
[12:44]
URLを偽装できる脆弱性を修正したIEの累積的修正プログラム公開

 マイクロソフトは3日、2003年12月9日に発見されたInternet Explorer(IE)にURLをスプーフィング(偽装)できる脆弱性など、新たに発見された3種類の脆弱性を修正したIEの累積的修正プログラム(MS04-004)を公開した。現在、同社WebサイトやWindows Updateからダウンロードできる。

 MS04-004は、新たに発見された3種類の脆弱性を修正するための修正プログラムで、IE 6/5.5/5.01向けにリリースされた過去の修正プログラムも含んでいる。新たに発見された脆弱性は、「クロスドメインの脆弱性」「ドラッグアンドドロップ操作の脆弱性」「アドレス欄のURLを偽装できる脆弱性」の3種類。

 クロスドメインの脆弱性は、別ドメインのウインドウが情報を共有しないようにする機能である、クロスドメインセキュリティモデルに関する脆弱性。この脆弱性を悪用すると、ローカルコンピュータゾーンでスクリプトが実行される可能性がある。悪用されるには、細工を施したWebサイトにユーザーを誘い込むか、HTML形式のメールを表示させる必要がある。

 ドラッグアンドドロップ操作の脆弱性は、IEのダイナミックHTMLイベント中に関数ポインタを使用したドラッグアンドドロップ操作を実行した際に発生する脆弱性だ。これが悪用されると、ユーザーがリンクをクリックした際、ユーザーが知らないうちにPC上に攻撃プログラムなどのファイルが保存される可能性があるという。この時、ダウンロードダイアログは表示されない。この脆弱性でも、悪用するためには細工を施したWebサイトにユーザーを誘い込むか、HTML形式のメールを表示させる必要がある。

 アドレス欄のURLを偽装できる脆弱性は、「%01」などを含むURLの場合に、本来のURLを「@」直前部分のみのURLとして偽装できるというもの。IEの入力確認エラーが原因で起こる。この脆弱性を悪用することによって、アドレスバーのURLを偽装して個人情報などを不正に引き出すことが可能だ。

 マイクロソフトでは、クロスドメインの脆弱性を最も深刻度の高い“緊急”、ドラッグアンドドロップ操作の脆弱性とアドレス欄のURLを偽装できる脆弱性は上から2番目の“重要”と評価している。対象となるバージョンはIE 6/5.5/5.01。対象OSは、Windows 2003 Server/XP/2000/NT 4.0。

 これらの脆弱性を修正するためには、累積的修正プログラム「MS04-004」を適用すればよい。マイクロソフトのWebサイトやWindows Updateからダウンロードできる。ただし、この脆弱性を修正するためのプログラムを適用すると、URLに含まれる「username」や「password」が利用できなくなるため、適用時には注意が必要だ。


関連情報

URL
  MS04-004
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-004.asp
  関連記事:IEにURLを偽装できるパッチ未公開の脆弱性が発見される[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/news/2003/12/11/1451.html
  関連記事:米MS、IEのスプーフィング脆弱性のパッチリリースを計画していると発表[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/news/2004/01/28/1901.html
  関連記事:MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/news/2003/12/17/1533.html
  関連記事:IE脆弱性を悪用するアドレス詐称サイトに注意![INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/special/2003/12/16/1522.html
  関連記事:マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る[INTERNET Watch]
  http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html


(大津 心)
2004/02/03 13:18
Broadband Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.