|
|
■URL
http://www.microsoft.com/japan/technet/security/secfaq.asp?sec_cd=MS02-008
マイクロソフト株式会社は22日、「XML
Core Services」(MSXML)バージョン2.6以降に発見された情報漏えい問題を警告した。問題となるMSXMLのバージョン2.6、3.0 および
4.0は、「Windows XP」や「IE 6.0」「SQL Server 2000」に含まれている。
問題は、MSXMLに含まれる「XMLHTTP」ActiveXコントロールの不具合。「XMLHTTP」ActiveXコントロールは、ブラウザーでレンダリングされたWebページがXMLデータの送受信を行なうというもの。今回の不具合により、攻撃者は、ユーザーを悪意のあるWebサイトに誘導し、ローカルシステムの情報をWebサイトに送るようにできる。なお、この脆弱性は、HTML形式のメールでは利用できない。
ファイルを読み取るためには、攻撃者がファイルのフルパスおよびファイル名を知る必要があるが、多くのファイルはデフォルトのフォルダに置かれているため、読み取られる可能性は高い。日本語版修正パッチは現在準備中であり、それまではセキュリティゾーン設定でスクリプトの実行を無効にすることで回避できる。
なお、同日には、IEのバージョン5.01に発見された「不正な VBScript 処理によりWebページがローカルファイルを読み取る」という情報漏えいの問題も警告されている。いずれも最大深刻度を「高」とし、該当ユーザーには対策を施すよう呼びかけている。
◎関連記事
■IE 5.01/5.5/6の新たなセキュリティホールの修正プログラムが公開 (窓の杜)
(2002/2/25)
[Reported by hiro@nakajima-gumi.net]