Return-Path: MS_Security@mspj.co.jp
From: MS_Security@mspj.co.jp
Message-Id: <199910121243.VAA06310@rins.st.ryukoku.ac.jp>
Date:  Tue, 12 Oct 1999 21:49:53 +0900
To: kjm@rins.ryukoku.ac.jp
Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK99-23)
MIME-Version: 1.0
X-Mail-Agent: BSMTP DLL  Jul 10 1999  by Tatsuo Baba
Content-Type: text/plain; charset=ISO-2022-JP

以下は、マイクロソフト株式会社が発行するセキュリティ情報です。

**********************************************************************

Microsoft(R) Security Bulletin Japanese Edition (MSKK99-23)
--------------------------------------

"IFRAME ExecCommand" 脆弱性に対する回避策 の問題

概要
====
Microsoft では、一定の状況下で、サイトを訪問したユーザー
のコンピュータ上のファイルを、悪意ある Web サイト オペレ
ータが読み取ることを可能にする、Microsoft(R) Internet 
Explorer 5 の脆弱性に関する情報を得ました。Microsoft で
は、この脆弱性を排除する修正プログラムを開発中です。当面
の、一時的な回避策について、以下で述べます。


問題の内容
===========
Internet Explorer 5 セキュリティ モデルは、通常、
Document.ExecCommand() メソッドを制限して、ユーザーのコン
ピュータ上で不適切な動作をとらないようにします。しかし、
このメソッドが IFRAME 上で呼び出される場合は、これらの制
限のうち、少なくとも 1 つが存在しません。これにより、ファ
イルとそれが含まれているフォルダの名前がわかれば、悪意あ
る Web サイト オペレータが訪問者であるユーザーのコンピュ
ータ上のファイル内容を読むことが可能になる恐れがありま
す。

ただし、この脆弱性により、悪意あるユーザーがフォルダの内
容を表示したり、ファイルを作成、修正、削除したり、マシン
に対する管理上の制御を奪ったりすることはできません。

影響を受けるソフトウェアのバージョン
====================================
- Microsoft Internet Explorer 5


回避策
======
パッチ開発中の暫定的な手段として、Microsoft では、信頼で
きるサイトを [信頼済みサイト] に追加し、[インターネット 
ゾーン] のアクティブ スクリプトを無効にすることを、お客様
にお勧めします。これにより、すべての信頼されているサイト
に対して完全な機能が提供されると共に、信頼されていないサ
イトがこの脆弱性を不当に利用することを避けることができま
す。下記サイトでは、これを行う方法、および、セキュリティ 
ゾーンの一般的な管理方法に関する詳細が提供されています。

この脆弱性に関する多く寄せられる質問については、
http://www.microsoft.com/security/bulletins/MS99-
042faq.asp をご覧ください。


**********************************************************************
本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版
のご購読者登録に基づいて送信されたものです。

本サービスのご購読を中止するには、
MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し
てください。（本文には何も記入しないでください。）

本サービスに関する情報は
http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ
けます。また、マイクロソフト製品のセキュリティ関連の情報は
http://www.asia.microsoft.com/japan/security/ でご覧いただけます。