[MS01-055] スクリプトにより Internet Explorer の Cookie データが漏洩または改ざんされる

この記事は、以前は次の ID で公開されていました: JP312461
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
Internet Explorer 5.5 および 6 には、悪意のあるユーザーによって作成された特殊な URL が、ユーザーのコンピュータに格納されている Cookie に対して不正にアクセスし、場合によっては Cookie の値が変更される可能性のある脆弱性が存在します。一部の Web サイトでは、Cookie を使用して重要なデータをユーザーのコンピュータに格納しているため、この脆弱性により個人情報が漏洩する可能性もあります。

この脆弱性を利用した攻撃を実行するには、攻撃者がホストしているサイトのページにある URLを、ユーザーにクリックさせるか、または攻撃者が送信した HTML 形式の電子メール メッセージに埋め込まれた URLをユーザーにクリックさせる必要があります。ユーザーに上記の操作を行わせずに、この脆弱性を利用した攻撃を自動的に行うことはできません。

問題を緩和する要素

  • この攻撃が成功するには、最初に、ユーザーが自分から悪意のある Web サイトに訪れるように仕向けるか、または悪意のある URL が含まれている HTML 形式の電子メール メッセージを開かせ、次にその特殊な URLをクリックさせる必要があります。
  • Microsoft Outlook 電子メール セキュリティ アップデートを適用したユーザーは、HTML 形式の電子メールを利用した攻撃による影響を受けません。
  • Outlook Express の [ツール] - [オプション] の セキュリティタブにある、[制限付きサイト ゾーン] を使用するように設定したユーザーは、HTML 形式の電子メールを利用した攻撃による影響を受けません。なお、Outlook Express 6 の既定の設定ではこの設定が使用されます。
解決方法
この修正モジュールは、Cookie を使うドメインのドメインネームがアルファベット、数字、および、一部の記号 ( '-' または '. ' ) だけで構成されていることを要求します。
もし、これらの文字で構成されていないと、cookie が正常に動作しない可能性があります。

Internet Explorer 6

この問題を解決するには、Internet Explorer 6 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 最新の Internet Explorer 6 Service Pack を入手する方法
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次の修正プログラムに含まれました。
316059 MS02-005: 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次のマイクロソフト Web サイトから入手することができます。

Internet Explorer 5.5

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、マイクロソフト セキュリティ情報が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次の修正プログラムに含まれました。
316059 MS02-005: 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム
「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム」 は次のマイクロソフト Web サイトから入手することができます。
回避策
Internet Explorer の [インターネット] および [イントラネット] ゾーンの [アクティブ スクリプト] および [Java アプレットのスクリプト] を無効にすることによって、この問題を回避することができます。脆弱性を利用した攻撃を受けないように Outlook Express の HTML 表示機能を使用するには、Outlook Express の [ツール]-[オプション] からセキュリティタブをクリックし[制限付きサイト ゾーン] を有効にします。

アクティブ スクリプトを無効にする

  1. Internet Explorer を起動します。
  2. [ツール] メニューの [インターネット オプション] をクリックします。
  3. [セキュリティ] タブの [レベルのカスタマイズ] をクリックします。
  4. [設定] ボックスの [アクティブ スクリプト] および [Java アプレットのスクリプト] をそれぞれ [無効にする] に設定します。
  5. [OK] をクリックした後、もう一度 [OK] をクリックします。
: Internet Explorer でアクティブ スクリプトを無効にしており、電子メール クライアントとして Outlook Web Access (OWA) を使用している場合、OWA のいくつかの機能を失う可能性があります。OWA の機能を完全に保持するためには Internet Explorer でアクティブ スクリプトを無効にしないでください。

Outlook Express で [制限付きサイト] を有効にする

  1. Outlook Express を起動します。
  2. [ツール] メニューの [オプション] をクリックします。
  3. [セキュリティ] タブをクリックし、[制限付きサイト ゾーン (安全性が向上します)] をクリックして、[OK] をクリックします。
: 無効に設定されたサイト、またはアクティブ スクリプト機能をオフにしたサイトを [信頼済みサイト] ゾーンに追加すると、これらの機能を再び有効にすることができます。このようにして追加したサイトには、信頼済みゾーンのセキュリティ設定が適用されます。この設定を行うには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. [ツール] メニューの [インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  3. [信頼済みサイト] をクリックし、[サイト] をクリックします。
  4. 信頼済み Web サイトの一覧に追加する Web ページ名を入力し、[追加] をクリックします。他に一覧に追加する Web サイトごとに、この手順を繰り返します。
  5. 一覧に Web ページをすべて追加した後、[OK] を 2 回クリックします。
状況

Internet Explorer 6

マイクロソフトでは、この問題により Internet Explorer 6 のセキュリティにいくつかの脆弱性が生じる可能性を確認しています。

Internet Explorer 5.5

マイクロソフトでは、この問題により Internet Explorer 5.5 のセキュリティにいくつかの脆弱性が生じる可能性を確認しています。

この問題は Internet Explorer 6 Service Pack 1 で修正されております。
詳細
この脆弱性のその他の情報については、下記のマイクロソフト Web サイトを参照してください。
security_patch
プロパティ

文書番号:312461 - 最終更新日: 01/12/2015 19:17:44 - リビジョン: 2.9

  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbinterop kbie600presp1fix kbwin2000sp3fix kbenv kbnetwork kbsecurity kbie550presp3fix kbsechack KB312461
フィードバック