HTTP 要求のエンコードの脆弱性に対する修正プログラム

この記事は、以前は次の ID で公開されていました: JP308414
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
この資料は特定のユーザーが使用する Web サイトの情報と一連の HTTP 要求を指定する Web アドレスを使用することにより、ユーザーの意図しないコマンドを Web サイトに送信できる問題について記述されています。
現象
Internet Explorer 5.01、5.5、および 6 に存在する脆弱性により、攻撃者がユーザーを第三者の Web サイトに接続させ、コマンドを送信することができるようになる可能性があります。接続先の Web サイトからは、そのコマンドがユーザー自身から送信されたように見えます。このようなコマンドを使用して実行できる具体的な操作はサイトによって異なりますが、一例として、ユーザーが使用する Web ベースの電子メール サービスにユーザーを接続させ、ユーザー自身の電子メールを削除するコマンドを送信するということも考えられます。

この脆弱性を利用するには、ユーザーが使用している Web サービスの詳細な情報に加え、ユーザー固有の情報が必要なことが多いため、この脆弱性が広範囲への攻撃に使用される可能性はほとんどありません。ただし、ある特定の個人に対して攻撃が行われた場合に、損害が発生する可能性があります。
原因
この脆弱性が存在するのは、第三者の Web サイトのドメイン名と一連の HTTP 要求を指定する Web アドレス (URL - Uniform Resource Locator) を作成することが可能であるためです。このような URL を処理するとき、Internet Explorer は第三者の Web サイトとの接続を確立し、ユーザー自身からのものであるかのようにコマンドを送信します。
解決方法

Internet Explorer 6

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 6 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン       サイズ    ファイル名   --------------------------------------------------------   2000/06/19  19:00  5.50.4134.0600   92,432  Advpack.dll   2001/09/09  18:31                   11,264  Instcat.exe   2001/10/02  17:24  6.0.2709.1000    109,568  Url.dll   1997/11/21  09:10                    21,504  Verinst.exe   2000/06/06  16:43  4.71.704.0000      2,272  W95inf16.dll   2000/06/06  16:43  4.71.16.0000       4,608  W95inf32.dll   2001/10/02  17:21  6.00.2709.2800   581,120  Wininet.dll

Internet Explorer 5.5

: この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
286043 「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121 不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付        時刻    バージョン       サイズ    ファイル名   --------------------------------------------------------   2000/06/19  19:00  5.50.4134.0600   92,432  Advpack.dll   2001/09/09  18:31                  11,264  Instcat.exe   2001/09/28  18:13  5.50.4909.0400    84,240  Url.dll   2001/09/28  18:17  5.50.4909.0400   453,904  Urlmon.dll   1997/11/21  09:10                   21,504  Verinst.exe   2000/06/06  16:43  4.71.704.0000     2,272  W95inf16.dll   2000/06/06  16:43  4.71.16.0000      4,608  W95inf32.dll   2001/09/28  18:08  5.50.4909.2800   480,528  Wininet.dll
: ファイルの依存関係のため、この修正プログラムには Internet Explorer 5.5 Service Pack 2 が必要です。
276369 Internet Explorer 5.5 の最新の Service Pack を入手する方法

Internet Explorer 5.01

: この修正プログラムで修正されるその他の内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
286043 「Telnet のログ オプション」の脆弱性を解決する修正プログラム
306121不正なドットなしIPアドレスによりWebページがイントラネットゾーンで処理される
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.01 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロード センター」からダウンロードできます。
リリース日 : 2001 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付         時刻     バージョン       サイズ    ファイル名   --------------------------------------------------------   2000/06/19  19:00  5.50.4134.0600    92,432  Advpack.dll   2001/09/09  18:31                  11,264  Instcat.exe   2001/09/28  16:40  5.50.4909.0400   84,240  Url.dll   2001/09/28  16:44  5.0.3409.2200  450,320  Urlmon.dll   1997/11/21  09:10                  21,504  Verinst.exe   2000/06/06  16:43  4.71.704.0000      2,272  W95inf16.dll   2000/06/06  16:43  4.71.16.0000       4,608  W95inf32.dll   2001/09/28  16:35  5.0.3409.2800  461,584  Wininet.dll
: ファイルの依存関係のため、この修正プログラムには Internet Explorer 5.01 Service Pack 2 が必要です。
267954 How to Obtain the Latest Internet Explorer 5.01 Service Pack

状況

Internet Explorer 6

マイクロソフトでは、この問題により Internet Explorer 6 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。
この問題は Internet Explorer 6 Service Pack 1 で修正されております。

Internet Explorer 5.5

マイクロソフトでは、この問題により Internet Explorer 5.5 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

Internet Explorer 5.01

マイクロソフトでは、この問題により Internet Explorer 5.01 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。
詳細
この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 308414 (最終更新日 2001-10-12) をもとに作成したものです。

security_patch patch20 Zone Spoofing Invocation
プロパティ

文書番号:308414 - 最終更新日: 02/24/2014 15:37:09 - リビジョン: 2.5

Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 6.0

  • kbnosurvey kbarchive kbfix kbie501presp3fix kbwinxppresp1fix kbsecurity kbprb kbwinxpsp1fix KB308414
フィードバック