HTTP 要求のエンコードの脆弱性に対する修正プログラム

文書翻訳 文書翻訳
文書番号: 308414 - 対象製品
この記事は、以前は次の ID で公開されていました: JP308414
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

概要

この資料は特定のユーザーが使用する Web サイトの情報と一連の HTTP 要求を指定する Web アドレスを使用することにより、ユーザーの意図しないコマンドを Web サイトに送信できる問題について記述されています。

現象

Internet Explorer 5.01、5.5、および 6 に存在する脆弱性により、攻撃者がユーザーを第三者の Web サイトに接続させ、コマンドを送信することができるようになる可能性があります。接続先の Web サイトからは、そのコマンドがユーザー自身から送信されたように見えます。このようなコマンドを使用して実行できる具体的な操作はサイトによって異なりますが、一例として、ユーザーが使用する Web ベースの電子メール サービスにユーザーを接続させ、ユーザー自身の電子メールを削除するコマンドを送信するということも考えられます。

この脆弱性を利用するには、ユーザーが使用している Web サービスの詳細な情報に加え、ユーザー固有の情報が必要なことが多いため、この脆弱性が広範囲への攻撃に使用される可能性はほとんどありません。ただし、ある特定の個人に対して攻撃が行われた場合に、損害が発生する可能性があります。

原因

この脆弱性が存在するのは、第三者の Web サイトのドメイン名と一連の HTTP 要求を指定する Web アドレス (URL - Uniform Resource Locator) を作成することが可能であるためです。このような URL を処理するとき、Internet Explorer は第三者の Web サイトとの接続を確立し、ユーザー自身からのものであるかのようにコマンドを送信します。

解決方法

Internet Explorer 6

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 6 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://www.microsoft.com/japan/support/supportnet/default.asp
: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する

ダウンロード
Q306121.exe
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン       サイズ    ファイル名
   --------------------------------------------------------
   2000/06/19  19:00  5.50.4134.0600   92,432  Advpack.dll
   2001/09/09  18:31                   11,264  Instcat.exe
   2001/10/02  17:24  6.0.2709.1000    109,568  Url.dll
   1997/11/21  09:10                    21,504  Verinst.exe
   2000/06/06  16:43  4.71.704.0000      2,272  W95inf16.dll
   2000/06/06  16:43  4.71.16.0000       4,608  W95inf32.dll
   2001/10/02  17:21  6.00.2709.2800   581,120  Wininet.dll

Internet Explorer 5.5

: この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
286043 「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121 不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://www.microsoft.com/japan/support/supportnet/default.asp
: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する

ダウンロード
Q306121.exe
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付        時刻    バージョン       サイズ    ファイル名
   --------------------------------------------------------
   2000/06/19  19:00  5.50.4134.0600   92,432  Advpack.dll
   2001/09/09  18:31                  11,264  Instcat.exe
   2001/09/28  18:13  5.50.4909.0400    84,240  Url.dll
   2001/09/28  18:17  5.50.4909.0400   453,904  Urlmon.dll
   1997/11/21  09:10                   21,504  Verinst.exe
   2000/06/06  16:43  4.71.704.0000     2,272  W95inf16.dll
   2000/06/06  16:43  4.71.16.0000      4,608  W95inf32.dll
   2001/09/28  18:08  5.50.4909.2800   480,528  Wininet.dll
: ファイルの依存関係のため、この修正プログラムには Internet Explorer 5.5 Service Pack 2 が必要です。
276369 Internet Explorer 5.5 の最新の Service Pack を入手する方法

Internet Explorer 5.01

: この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
286043 「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121 不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.01 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://www.microsoft.com/japan/support/supportnet/default.asp
: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する

ダウンロード
Q306121.exe
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付         時刻     バージョン       サイズ    ファイル名
   --------------------------------------------------------
   2000/06/19  19:00  5.50.4134.0600    92,432  Advpack.dll
   2001/09/09  18:31                  11,264  Instcat.exe
   2001/09/28  16:40  5.50.4909.0400   84,240  Url.dll
   2001/09/28  16:44  5.0.3409.2200  450,320  Urlmon.dll
   1997/11/21  09:10                  21,504  Verinst.exe
   2000/06/06  16:43  4.71.704.0000      2,272  W95inf16.dll
   2000/06/06  16:43  4.71.16.0000       4,608  W95inf32.dll
   2001/09/28  16:35  5.0.3409.2800  461,584  Wininet.dll
: ファイルの依存関係のため、この修正プログラムには Internet Explorer 5.01 Service Pack 2 が必要です。
267954 How to Obtain the Latest Internet Explorer 5.01 Service Pack

状況

Internet Explorer 6

マイクロソフトでは、この問題により Internet Explorer 6 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。
この問題は Internet Explorer 6 Service Pack 1 で修正されております。

Internet Explorer 5.5

マイクロソフトでは、この問題により Internet Explorer 5.5 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

Internet Explorer 5.01

マイクロソフトでは、この問題により Internet Explorer 5.01 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

詳細

この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 308414 (最終更新日 2001-10-12) をもとに作成したものです。

プロパティ

文書番号: 308414 - 最終更新日: 2014年2月24日 - リビジョン: 2.5
この資料は以下の製品について記述したものです。
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 6.0?を以下の環境でお使いの場合
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
キーワード:?
kbnosurvey kbarchive kbfix kbie501presp3fix kbwinxppresp1fix kbsecurity kbprb kbwinxpsp1fix KB308414
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com