[XGEN] Exchange Server 5.5 Outlook Web Access の誤った添付ファイル処理によりスクリプトが実行される

文書翻訳 文書翻訳
文書番号: 301361 - 対象製品
この記事は、以前は次の ID で公開されていました: JP301361
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
Exchange 2000 Server で発生する可能性のある類似の問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
299535 XGEN: Incorrect Attachment Processing in Exchange 2000 Outlook Web Access Can Run Script
299535 [XGEN] OWA の誤った添付ファイル処理によりスクリプトが実行される
すべて展開する | すべて折りたたむ

現象

Microsoft Outlook Web Access (OWA) は Exchange Server 5.5 と Exchange 2000 Server のサービスです。ユーザーは、このサービスを使用して、Web ブラウザから Exchange メールボックスにアクセスできます。ただし、OWA と Microsoft Internet Explorer 間の通信には、メッセージの添付ファイルに関する脆弱性の問題が存在します。添付ファイルに、スクリプトを含む HTML (Hypertext Markup Language) コードが含まれる場合、添付ファイルの種類にかかわらず、ユーザーが添付ファイルを開いたときにスクリプトが実行されます。OWA を使用するには、OWA サーバーが存在するゾーンでスクリプトの実行が有効になっている必要があるため、このスクリプトは、ユーザーの Exchange メールボックスに対して操作を実行できます。

この脆弱性を利用して、攻撃者は悪意のあるスクリプト コードを含む添付ファイルを作成します。次に攻撃者は、ユーザーへのメッセージにこの添付ファイルを添付して送信します。ユーザーが、OWA でこの添付ファイルを開いた場合、スクリプトが実行され、あたかもこのスクリプトがユーザーのものであるかのように、ユーザーのメールボックスに対して何らかの操作を実行できます。特定の状況下で、メッセージまたはフォルダを操作することも可能です。

問題を緩和する要素は次のとおりです。
  • この脆弱性は、ユーザーが Internet Explorer と共に OWA を使用した場合にのみ利用可能です。
  • この脆弱性は、OWA を使用して受信された添付ファイルによってのみ利用可能です。一般に、ユーザーがMicrosoft Outlook ではなく OWA を使用して添付ファイルを開くかどうかを、攻撃者が事前に確認することはできません。
  • 攻撃者がこの脆弱性を利用するには、攻撃者は何らかの方法で、信頼されていないソースからの添付ファイルをユーザーに開かせるように仕向ける必要があります。最善の対応方法は、身元不明の差出人、または信頼されていないサイトなどから受け取った添付ファイルを開かないことです。

解決方法

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合は、この修正プログラムが含まれる次の Microsoft Exchange Server 5.5 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://www.microsoft.com/japan/support/supportnet/default.asp
: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する

Download
Q301361i386.exe
リリース日 : 2001 年 6 月 8 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (英語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。

コンポーネント : OWA

元に戻す全体を表示する
ファイル名 バージョン
Read.asp na

注意事項
  • ファイルの依存関係により、この修正プログラムには Microsoft Exchange Server 5.5 Service Pack 4 が必要です。
  • OWA コンポーネントを実行しているすべてのサーバーに、この修正プログラムを適用する必要があります。Exchange Server 5.5 では、Exchange Server から切り離されたコンピュータに OWA コンポーネントをインストールできます。OWA を個別にインストールしている場合、それぞれのコンピュータでこの修正プログラムを実行する必要があります。
  • この修正プログラムを適用した後、OWA を使用してメッセージを開くと、空白のウィンドウが表示されることがあります。この現象が発生する場合、次の「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。
    314532 XWEB: Troubleshooting Blank Message Bodies in Outlook Web

状況

マイクロソフトでは、この問題により Microsoft Exchange Server 5.5 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

詳細

このセキュリティの脆弱性の問題に関する詳細については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS01-030

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 301361 (最終更新日 2002-01-31) をもとに作成したものです。

プロパティ

文書番号: 301361 - 最終更新日: 2014年1月23日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 5.5 Service Pack 4
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
キーワード:?
kbnosurvey kbarchive kbbug kbexchange550presp5fix kbfix KB301361
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com