各位
Internet Explorer の JavaScript の脆弱性に関する注意喚起
Internet Explorer JavaScript vulnerability
http://www.jpcert.or.jp/at/2005/at050010.txt
I. 概要
Microsoft Internet Explorer における JavaScript の脆弱性を使った攻撃手法が公開されました。本脆弱性により、悪意のある Web サイトにアクセスしたり、HTML 形式の電子メールを表示させるだけで、任意のコードが実行される危険性があります。2005年11月22日 (日本時間) 現在、Microsoft より対策済みソフトウェアは公開されていないため、以降に示す対策の適用を検討してください。
2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。(2005-12-14 追記)
II. 対象
Microsoft Internet Explorer 5.01、5.5 および 6
※ HTML 表示機能として、内部で Internet Explorer を使用している
ソフトウェアも本脆弱性の影響を受ける可能性があります。
III. 対策
2005年11月22日 (日本時間) 現在、Microsoft より対策済みソフトウェアは公開されていません。対策済みソフトウェアがリリースされるまでの間の一時的な対策として JavaScript を無効にするなどの方法があります。
JavaScript を無効にする方法
1.「コントロールパネル」の「インターネットオプション」を開く
2. [セキュリティ] タブを選択
3. Web コンテンツのゾーンの [インターネット] を選択し、
[レベルのカスタマイズ] を選択 (必要であれば [イントラネット] も
同様に設定)
4. [設定] ボックスで、[アクティブ スクリプト] で [無効にする] を
選択し、[OK] を選択
2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。Windows Update 又は、Microsoft Update などを用い、セキュリティ更新プログラムを早急に適用してください。(2005-12-14 追記)
Microsoft Update
https://update.microsoft.com/microsoftupdate
Microsoft Update について
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx
IV. 参考情報
マイクロソフト セキュリティ アドバイザリ (911302)
Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/911302.mspx
US-CERT Vulnerability Note VU#887861
Microsoft Internet Explorer vulnerable to code execution via scripting "window()" object
http://www.kb.cert.org/vuls/id/887861
JP Vendor Status Notes JVNVU#887861
Microsoft Internet Explorer の "Window()" オブジェクトの処理に任意のコード実行の脆弱性
http://jvn.jp/cert/JVNVU%23887861/
CIAC Bulletin Q-059
Vulnerability in the way Internet Explorer Handles onLoad Events
http://www.ciac.org/ciac/bulletins/q-059.shtml
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-11-22 初版
2005-11-23 対象バージョンの修正および参考情報の追加
2005-12-14 対策済みソフトウェア公開について追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2005-0010
JPCERT/CC
2005-11-22 (初版)
2005-12-14 (更新)
JPCERT/CC Alert 2005-11-22
Internet Explorer の JavaScript の脆弱性に関する注意喚起
Internet Explorer JavaScript vulnerability
http://www.jpcert.or.jp/at/2005/at050010.txt
I. 概要
Microsoft Internet Explorer における JavaScript の脆弱性を使った攻撃手法が公開されました。本脆弱性により、悪意のある Web サイトにアクセスしたり、HTML 形式の電子メールを表示させるだけで、任意のコードが実行される危険性があります。2005年11月22日 (日本時間) 現在、Microsoft より対策済みソフトウェアは公開されていないため、以降に示す対策の適用を検討してください。
2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。(2005-12-14 追記)
II. 対象
Microsoft Internet Explorer 5.01、5.5 および 6
※ HTML 表示機能として、内部で Internet Explorer を使用している
ソフトウェアも本脆弱性の影響を受ける可能性があります。
III. 対策
2005年11月22日 (日本時間) 現在、Microsoft より対策済みソフトウェアは公開されていません。対策済みソフトウェアがリリースされるまでの間の一時的な対策として JavaScript を無効にするなどの方法があります。
JavaScript を無効にする方法
1.「コントロールパネル」の「インターネットオプション」を開く
2. [セキュリティ] タブを選択
3. Web コンテンツのゾーンの [インターネット] を選択し、
[レベルのカスタマイズ] を選択 (必要であれば [イントラネット] も
同様に設定)
4. [設定] ボックスで、[アクティブ スクリプト] で [無効にする] を
選択し、[OK] を選択
2005年12月14日 Microsoft より対策済みソフトウェアが公開されました。Windows Update 又は、Microsoft Update などを用い、セキュリティ更新プログラムを早急に適用してください。(2005-12-14 追記)
Microsoft Update
https://update.microsoft.com/microsoftupdate
Microsoft Update について
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx
IV. 参考情報
マイクロソフト セキュリティ アドバイザリ (911302)
Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/911302.mspx
US-CERT Vulnerability Note VU#887861
Microsoft Internet Explorer vulnerable to code execution via scripting "window()" object
http://www.kb.cert.org/vuls/id/887861
JP Vendor Status Notes JVNVU#887861
Microsoft Internet Explorer の "Window()" オブジェクトの処理に任意のコード実行の脆弱性
http://jvn.jp/cert/JVNVU%23887861/
CIAC Bulletin Q-059
Vulnerability in the way Internet Explorer Handles onLoad Events
http://www.ciac.org/ciac/bulletins/q-059.shtml
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-11-22 初版
2005-11-23 対象バージョンの修正および参考情報の追加
2005-12-14 対策済みソフトウェア公開について追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
