Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <200002011056.TAA01572@rins.st.ryukoku.ac.jp> Date: Tue, 01 Feb 2000 20:07:44 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-10) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************************** Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-10) -------------------------------------- "仮想マシン サンドボックス" の脆弱性の回避策 Microsoft では、一定の状況下で、サイトを訪問したユーザー のコンピュータ上のファイルを、悪意ある Web サイト オペレ ータが提供する Java アプレットで読み取ることを可能にす る、Microsoft(R) 仮想マシン (Microsoft VM) におけるセキュ リティの脆弱性に関する情報を得ました。 Microsoft では、日本国内で最初にこの問題が発見されたた め、現在 US 本社にて調査を進めております。当面の、一時的 な回避策について、以下で述べます。 問題の内容 ================ Microsoft VM は、Win32(R) オペレーティング環境用の仮想マ シンです。これは Microsoft Windows(R) 95、98、Windows NT (R) 上で動作します。各オペレーティング システムの一部とし て、また、Microsoft Internet Explorer の一部としても、出 荷されています。 Microsoft Internet Explorer 4.0 および Internet Explorer 5.0 に付随のバージョンの Microsoft VM には、Java アプレットがサンド ボックスによって設定された 境界外で動作して、ユーザーのコンピュータ上のファイルを読 み取ることが可能になるようなセキュリティの脆弱性が含まれ ています。 そのようなアプレットが Web サイト上でホストされていた場合 には、サイトを訪れたユーザーのコンピュータに対して望まし くない動作をする可能性があります。 影響を受けるソフトウェアのバージョン ====================================== Microsoft Internet Explorer 4 および 5 回避策 ======= 暫定的な手段として、信頼されていないサイトがこの脆弱性を 不当に利用することを避けるため、Microsoft では、この問題 の発生する可能性のある [インターネット] ゾーンのセキュリ ティに設定において、[Java の許可] を無効にすることをお勧 めします。これによって、不特定のインターネットサイトでの Java アプレットの実行は一切無効になりますが、信頼できるサ イトについては、[信頼済みサイト] に追加することによって、 今まで通り Java アプレットを実行することができます。 ********************************************************************** 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し てください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ けます。また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。