|
■URL
http://www.microsoft.com/technet/security/bulletin/MS01-055.asp?frame=true
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS01-055 (日本語)
米Microsoftは8日、WWWブラウザー「Internet Explorer(IE)」に、Cookie情報が盗まれたり改ざんされる可能性のあるセキュリティホールが発見されたと発表した。対象となるのはIE 5.5および6.0。Microsoftは現在、この問題に対応するパッチを準備中だとしている。
Cookieは、Webサイトがユーザー情報をユーザーのローカルシステムに格納するための方法として使われる。この情報にはしばしば、複数のセッションに渡ってサイトの設定を維持するため、クレジットカード番号やユーザー名、パスワードなどの認証情報が格納されることがある。
今回発見されたセキュリティホールを悪用して、悪意のあるユーザーがWebサイトやURLを含むHTMLメールを使ってユーザーを誘い込み、このようなCookie情報を盗んだり改ざんすることが可能となる。
Microsoftはパッチを公開するまで、「インターネットゾーン」および「イントラネットゾーン」の設定で、「アクティブスクリプト」を無効にするよう呼びかけている。また、悪意のあるHTMLメールの影響を受けないよう、「Outlook」では「セキュリティアップデート」をあて、「Outlook Express」では「制限付きサイトゾーン」に設定しておくよう呼びかけている。
(2001/11/12)
[Reported by hiro@nakajima-gumi.net]