Select the product you need help with
HTTP 要求のエンコードの脆弱性に対する修正プログラム文書番号: 308414 - 対象製品 この記事は、以前は次の ID で公開されていました: JP308414 目次概要 この資料は特定のユーザーが使用する Web サイトの情報と一連の HTTP 要求を指定する Web
アドレスを使用することにより、ユーザーの意図しないコマンドを Web サイトに送信できる問題について記述されています。 現象 Internet Explorer 5.01、5.5、および 6 に存在する脆弱性により、攻撃者がユーザーを第三者の
Web サイトに接続させ、コマンドを送信することができるようになる可能性があります。接続先の Web
サイトからは、そのコマンドがユーザー自身から送信されたように見えます。このようなコマンドを使用して実行できる具体的な操作はサイトによって異なりますが、一例として、ユーザーが使用する
Web ベースの電子メール サービスにユーザーを接続させ、ユーザー自身の電子メールを削除するコマンドを送信するということも考えられます。 この脆弱性を利用するには、ユーザーが使用している Web サービスの詳細な情報に加え、ユーザー固有の情報が必要なことが多いため、この脆弱性が広範囲への攻撃に使用される可能性はほとんどありません。ただし、ある特定の個人に対して攻撃が行われた場合に、損害が発生する可能性があります。 原因 この脆弱性が存在するのは、第三者の Web サイトのドメイン名と一連の HTTP 要求を指定する Web アドレス
(URL - Uniform Resource Locator) を作成することが可能であるためです。このような URL を処理するとき、Internet
Explorer は第三者の Web サイトとの接続を確立し、ユーザー自身からのものであるかのようにコマンドを送信します。 解決方法Internet Explorer 6マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051)
が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の
Internet Explorer 6 Service Pack がリリースされるまで待つことを推奨します。 この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。
http://www.microsoft.com/japan/support/supportnet/default.asp
注 : Microsoft Support Professional
が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。
(http://www.microsoft.com/japan/support/supportnet/default.asp)
下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。 リリース日 : 2001 年 10 月 10 日 マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 119591 マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス
チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
(http://support.microsoft.com/kb/119591/EN-US/
)
How to Obtain Microsoft Support Files from Online Services
修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 日付 時刻 バージョン サイズ ファイル名 -------------------------------------------------------- 2000/06/19 19:00 5.50.4134.0600 92,432 Advpack.dll 2001/09/09 18:31 11,264 Instcat.exe 2001/10/02 17:24 6.0.2709.1000 109,568 Url.dll 1997/11/21 09:10 21,504 Verinst.exe 2000/06/06 16:43 4.71.704.0000 2,272 W95inf16.dll 2000/06/06 16:43 4.71.16.0000 4,608 W95inf32.dll 2001/10/02 17:21 6.00.2709.2800 581,120 Wininet.dll Internet Explorer 5.5注 : この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。286043
(http://support.microsoft.com/kb/286043/JA/
)
「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、
マイクロソフト セキュリティ情報
(http://support.microsoft.com/kb/306121/JA/
)
不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051)
が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の
Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。 この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。
http://www.microsoft.com/japan/support/supportnet/default.asp
注 : Microsoft Support Professional
が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。
(http://www.microsoft.com/japan/support/supportnet/default.asp)
下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。 リリース日 : 2001 年 10 月 10 日 マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 119591 マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス
チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
(http://support.microsoft.com/kb/119591/EN-US/
)
How to Obtain Microsoft Support Files from Online Services
修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 日付 時刻 バージョン サイズ ファイル名 -------------------------------------------------------- 2000/06/19 19:00 5.50.4134.0600 92,432 Advpack.dll 2001/09/09 18:31 11,264 Instcat.exe 2001/09/28 18:13 5.50.4909.0400 84,240 Url.dll 2001/09/28 18:17 5.50.4909.0400 453,904 Urlmon.dll 1997/11/21 09:10 21,504 Verinst.exe 2000/06/06 16:43 4.71.704.0000 2,272 W95inf16.dll 2000/06/06 16:43 4.71.16.0000 4,608 W95inf32.dll 2001/09/28 18:08 5.50.4909.2800 480,528 Wininet.dll 276369
(http://support.microsoft.com/kb/276369/JA/
)
Internet Explorer 5.5 の最新の Service Pack を入手する方法
Internet Explorer 5.01注 : この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。286043
(http://support.microsoft.com/kb/286043/JA/
)
「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、
マイクロソフト セキュリティ情報
(http://support.microsoft.com/kb/306121/JA/
)
不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051)
が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の
Internet Explorer 5.01 Service Pack がリリースされるまで待つことを推奨します。 この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。
http://www.microsoft.com/japan/support/supportnet/default.asp
注 : Microsoft Support Professional
が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。
(http://www.microsoft.com/japan/support/supportnet/default.asp)
下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。 リリース日 : 2001 年 10 月 10 日 マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 119591 マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス
チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
(http://support.microsoft.com/kb/119591/EN-US/
)
How to Obtain Microsoft Support Files from Online Services
修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 日付 時刻 バージョン サイズ ファイル名 -------------------------------------------------------- 2000/06/19 19:00 5.50.4134.0600 92,432 Advpack.dll 2001/09/09 18:31 11,264 Instcat.exe 2001/09/28 16:40 5.50.4909.0400 84,240 Url.dll 2001/09/28 16:44 5.0.3409.2200 450,320 Urlmon.dll 1997/11/21 09:10 21,504 Verinst.exe 2000/06/06 16:43 4.71.704.0000 2,272 W95inf16.dll 2000/06/06 16:43 4.71.16.0000 4,608 W95inf32.dll 2001/09/28 16:35 5.0.3409.2800 461,584 Wininet.dll 267954
(http://support.microsoft.com/kb/267954/EN-US/
)
How to Obtain the Latest Internet Explorer 5.01 Service Pack
状況Internet Explorer 6マイクロソフトでは、この問題により Internet Explorer 6 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。この問題は Internet Explorer 6 Service Pack 1 で修正されております。 Internet Explorer 5.5マイクロソフトでは、この問題により Internet Explorer 5.5 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。Internet Explorer 5.01マイクロソフトでは、この問題により Internet Explorer 5.01 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。詳細 この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051)
関連情報 この資料は米国 Microsoft Corporation から提供されている Knowledge Base の
Article ID
308414
(http://support.microsoft.com/kb/308414/EN-US/
)
(最終更新日 2001-10-12) をもとに作成したものです。 プロパティ文書番号: 308414 - 最終更新日: 2005年2月18日 - リビジョン: 2.5 この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" |
先頭へ戻る
