-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2005-0010
                                                            JPCERT/CC
                                                    2005-11-22 (初版)
                                                    2005-12-14 (更新)

                  <<< JPCERT/CC Alert 2005-11-22 >>>

       Internet Explorer の JavaScript の脆弱性に関する注意喚起

              Internet Explorer JavaScript vulnerability

             http://www.jpcert.or.jp/at/2005/at050010.txt


I. 概要

  Microsoft Internet Explorer における JavaScript の脆弱性を使った攻撃
手法が公開されました。本脆弱性により、悪意のある Web サイトにアクセス
したり、HTML 形式の電子メールを表示させるだけで、任意のコードが実行さ
れる危険性があります。2005年11月22日 (日本時間) 現在、Microsoft より対
策済みソフトウェアは公開されていないため、以降に示す対策の適用を検討し
てください。

  2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。
(2005-12-14 追記)


II. 対象

  Microsoft Internet Explorer 5.01、5.5 および 6

  ※ HTML 表示機能として、内部で Internet Explorer を使用している　　
     ソフトウェアも本脆弱性の影響を受ける可能性があります。


III. 対策

  2005年11月22日 (日本時間) 現在、Microsoft より対策済みソフトウェアは
公開されていません。対策済みソフトウェアがリリースされるまでの間の一時
的な対策として JavaScript を無効にするなどの方法があります。

  JavaScript を無効にする方法
    1.「コントロールパネル」の「インターネットオプション」を開く
    2. [セキュリティ] タブを選択
    3. Web コンテンツのゾーンの [インターネット] を選択し、
       [レベルのカスタマイズ] を選択 (必要であれば [イントラネット] も
       同様に設定)
    4. [設定] ボックスで、[アクティブ スクリプト] で [無効にする] を
       選択し、[OK] を選択

  2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。
Windows Update 又は、Microsoft Update などを用い、セキュリティ更新プ
ログラムを早急に適用してください。(2005-12-14 追記)

    Microsoft Update
    https://update.microsoft.com/microsoftupdate

    Microsoft Update について
    http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx


IV. 参考情報

    マイクロソフト セキュリティ アドバイザリ (911302)
    Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される
    http://www.microsoft.com/japan/technet/security/advisory/911302.mspx

    US-CERT Vulnerability Note VU#887861
    Microsoft Internet Explorer vulnerable to code execution via scripting "window()" object
    http://www.kb.cert.org/vuls/id/887861

    JP Vendor Status Notes JVNVU#887861
    Microsoft Internet Explorer の "Window()" オブジェクトの処理に任意のコード実行の脆弱性
    http://jvn.jp/cert/JVNVU%23887861/

    CIAC Bulletin Q-059
    Vulnerability in the way Internet Explorer Handles onLoad Events
    http://www.ciac.org/ciac/bulletins/q-059.shtml


  今回の件につきまして当方まで提供いただける情報がございましたら、ご
連絡ください。

__________

改訂履歴

2005-11-22  初版
2005-11-23  対象バージョンの修正および参考情報の追加
2005-12-14  対策済みソフトウェア公開について追記

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ59+EYx1ay4slNTtAQGpxAP+OYVB2LrESpTwiS1Cgc+n1ctUeuTnFiqB
ph6WN7lfftEh+a8Ig4wL/YX1PhFlB4FtNQiq4ZWOc2au5eRyEZzf4jfM5Wr18Tr2
Y4Lq1HhVKfjwweKg9Nd7PH7H4Ou3wWzuYRdqktK8/scxokXg2YSft26uVHn4iI4v
OlLfB9Y43Hw=
=pLq5
-----END PGP SIGNATURE-----