株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2003年08月21日 | 注意喚起

The Return of the Content-Disposition Vulnerability in IE

SNS Advisory No.67

Problem first discovered on: 18 Sep 2002
Published on: 21 Aug 2003

概要

Microsoft Internet Explorerには、さまざまな環境下においてユーザの意思に関係なく、HTMLファイルを自動的にダウンロードし、かつ、このファイルに含まれる一部のタグを「マイコンピュータ」ゾーンの設定で実行してしまう問題があります。

問題

Microsoft Internet Explorerには、さまざまな環境下においてHTTP応答中のContent-Typeヘッダに特定のMIMEタイプが指定され、かつ、特定の文字列がContent-Dispositionヘッダに指定されていた場合、これを自動的にダウンロードし、そしてTemporary Internet Files(TIF)ディレクトリ内でこれを開きます。このため、悪意あるWebサイトの管理者はこの問題を利用することのできる悪意あるコンテンツを用意し、ユーザをこのコンテンツに誘導させた場合、スクリプトを使用することでTIFディレクトリのパスを漏洩させることが可能となります。

さらには、Content-Dispositionヘッダ中の文字列がある手法を使用して作成されていた場合には、「マイコンピュータ」ゾーンの設定でOBJECTタグが解釈されます。したがって、このようにして作成された悪意あるコンテンツにユーザがアクセスした場合、そのユーザのように、コンピュータ上に存在する実行ファイルの起動などの操作を攻撃者に許すことになります。

問題を確認したバージョン

Internet Explorer 6 Service Pack 1 日本語版

対策

MS03-032として公開されているInternet Explorer用の累積的な修正プログラムを適用することでこの問題を解消することができます。

Microsoft Security Bulletin MS03-032:

http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Microsoft Security Bulletin MS03-032(日本語版):

http://www.microsoft.com/japan/technet/security/bulletin/ms03-032.asp

発見者

新井 悠


謝辞:
Security Response Team of Microsoft Asia Limited

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top