[MS02-013] Java アプレットによってブラウザー トラフィックがリダイレクトされる

文書翻訳 文書翻訳
文書番号: 300845 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
Notice
この資料に以前記載されていた Microsoft 仮想マシン (Microsoft VM) の更新プログラムは利用できなくなりました。詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/java/default.mspx
http://support.microsoft.com/gp/lifean12
すべて展開する | すべて折りたたむ

現象

Microsoft 仮想マシン (Microsoft VM) には、セッション ハイジャックの脆弱性が存在します。この脆弱性を利用すると、悪質な Java アプレットは、ユーザーが気付かないうちに、すべてのブラウザー トラフィックをアプレットが指定するホストへ再ルーティングすることができます。攻撃者は、再ルーティングされたブラウザー トラフィックを入手した後、以下のような操作を実行したり、操作を任意に組み合わせたりして実行することが可能になります。
  • ブラウザー要求の処理
  • セッション情報の記録
  • 目的の場所への要求の転送
注: 上記のような操作が可能になる場合、悪意のある人物がユーザーのセッション情報を記録できるようになり、さらにテキスト形式 (暗号化されていないテキスト) で送信されたユーザー名やパスワード、クレジット カード番号などを検索できるようになる可能性があります。

この脆弱性を利用しようとする悪質なアプレットは、実行中の Internet Explorer のインスタンスをすべて終了するまで実行され続けます。

この脆弱性が利用されるのは、Microsoft Internet Explorer がプロキシ サーバーを経由してインターネット リソースにアクセスするように設定されている場合に限られます。プロキシ サーバーを使用するように設定されていないブラウザーのユーザーについては、この脆弱性による危険性はありません。

攻撃者がこの脆弱性を利用して、セキュリティ保護された HTTP (HTTPS) トラフィックを取り込んだ場合、HTTPS は SSL (Secure Sockets Layer) を使用して暗号化されているため、HTTPS トラフィックがテキスト形式として読み取られる危険性は低くなります。したがって、HTTPS を使用して送信されたユーザー名やパスワードは、HTTP を使用してテキスト形式で送信された情報に比べ、脆弱性の影響を受けにくくなります。

原因

この脆弱性が発生する原因は、プロキシ サービスへの特定の要求を Java 内部で処理する方法にあります。Internet Explorer がプロキシ サービスを使用するように設定されている場合、特殊な方法で作成された Java プログラム (アプレットとも呼ばれます) が、この脆弱性を利用してブラウザー トラフィックを他のサイトへ転送できるようになる場合があります。

状況

マイクロソフトでは、この問題により Microsoft 仮想マシンのセキュリティにある程度の脆弱性が生じる可能性があることを認識しています。 この問題は、Windows 2000 Service Pack 3 で修正済みです。

詳細

Windows 98、Windows 98 Second Edition (SE)、または Windows Millennium Edition (Me) を実行しているコンピューターで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに「Command」と入力し、[OK] をクリックします。
  3. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    jview
    1 行目に "Version n.nn.nnnn" のように表示されたバージョン情報の、nnnn がビルド番号です。たとえば 5.00.3802 は、Microsoft VM ビルド 3802 を示します。
Windows NT 4.0、Windows 2000、または Windows XP を実行しているコンピューターで Microsoft VM のビルド番号を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに「cmd」と入力し、[OK] をクリックします。
  3. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    jview
    1 行目に "Version n.nn.nnnn" のように表示されたバージョン情報の、nnnn がビルド番号です。たとえば 5.00.3802 は、Microsoft VM ビルド 3802 を示します。

関連情報

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/security/bulletin/ms02-013

http://technet.microsoft.com/ja-jp/security/bulletin/ms03-011
Microsoft 仮想マシンの詳細については、以下のサポート技術情報番号をクリックしてください。
169803 [INFO] Microsoft VM が含まれているこれまでのリリースの一覧 (リンク先は英語の場合があります)
Visual J++ および SDK for Java のサポート情報を参照するには、次のマイクロソフト Web サイトをクリックしてください。
http://www.microsoft.com/java

プロパティ

文書番号: 300845 - 最終更新日: 2014年3月27日 - リビジョン: 9.0
この資料は以下の製品について記述したものです。
  • Microsoft Virtual Machine for Java?を以下の環境でお使いの場合
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Standard Edition
キーワード:?
kbarchive kbqfe kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com