MS02-009 の適用後 VBScript とサードパーティ アプリケーションの間で互換性の問題が発生する
この記事は、以前は次の ID で公開されていました: JP319847 概要 2 月 21 日のマイクロソフト セキュリティ情報 MS02-009
のリリース後、マイクロソフトは、Microsoft Visual Basic Scripting Edition (VBScript)
の規定外の動作を使用したいくつかのサードパーティ
アプリケーションで、互換性の問題が発生することを確認しました。この資料では、その互換性の問題と共に、MS02-009
修正プログラムのアップデート版に加えられた変更内容についても説明します。 修正プログラムおよびこの入手方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 318089 (http://support.microsoft.com/kb/318089/EN-US/)
MS02-009: Incorrect VBScript Handling in Internet Explorer Can Allow Web Pages to Read Local Files
318089 (http://support.microsoft.com/kb/318089/JA/)
[MS02-009] Internet Explorer の無効な VBScript 処理により Web ページからローカル ファイルを読み取られる
詳細VBScript では、IDispatch インターフェイスを実装するコンポーネント オブジェクト モデル (COM)
オブジェクトのインスタンスを作成することができます。実行時にバインドされる、COM オブジェクトの関数への呼び出しは、"ディスパッチ" インターフェイス
(つまり、実行時にメソッド名を取得し、呼び出しを適切なメソッドに "ディスパッチ" するインターフェイス) を経由して行われます。 COM オブジェクトの中には、複数のディスパッチ インターフェイスを実装するものがあります。一部の言語 (Visual Basic など) では、任意のディスパッチ インターフェイスでオブジェクトを呼び出すことができますが、言語によっては (JScript など)、デフォルトのディスパッチ インターフェイス以外では呼び出しを行えないものもあります。VBScript で CreateObject メソッドを呼び出した場合、オブジェクトがサポートするデフォルト以外のインターフェイスの数にかかわらず、デフォルトのディスパッチ インターフェイスが返されます。しかし VBScript では、呼び出しによってメソッドまたはプロパティに返されたオブジェクトのインターフェイスが、デフォルトのインターフェイスであるかどうかが確認されません。 過去のバージョンの Internet Explorer にはセキュリティ上の問題が存在し、セキュリティが確保されていないデフォルト以外のインターフェイスを VBScript エンジンに返すことがあります。これによって、オブジェクトが安全でない方法で使用されるおそれがあります。この問題を修正するため、マイクロソフトは、常にデフォルトのインターフェイスを取得するように VBScript を修正しました。この修正によってセキュリティ上の脆弱性は緩和されましたが、一部の正規のオブジェクトに関して互換性の問題が引き起こされました。 MS02-009 (http://support.microsoft.com/kb/318089?ln) のアップデート版では、制限対象を限定し、潜在的にセキュリティ上の問題がある Internet Explorer オブジェクトのみを対象とするよう変更されました。この修正プログラムにより、サードパーティのオブジェクトが、VBScript でデフォルト以外のディスパッチ インターフェイスを使用することができるようになります。 この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。 http://www.microsoft.com/japan/technet/security/bulletin/ms02-009.mspx (http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-009.mspx) 関連情報この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| United States | Change | | | All Microsoft Sites |
Help and Support
先頭へ戻る
|
