■URL
http://www.microsoft.com/security/bulletins/ms99-043.asp
http://www.microsoft.com/security/bulletins/ms99-042.asp
米Microsoftは18日、IE 4/5のセキュリティ問題を報告した。通常はWebサーバーからユーザー側のマシンにあるローカルファイルにアクセスできないようになっているが、悪意のあるWebサーバーがActiveScript(Javascriptなど)を使ってユーザー側のIEにローカルファイルを表示するウィンドウを開かせたあと、ActiveScriptへURLリダイレクトし、そのファイルを読めてしまうというもの。アクセスできるのはディレクトリとファイル名がわかっているファイルのみだが、設定ファイルなどが読めてしまう可能性がある。
Microsoftでは、対処方法として、ActiveScripting機能をオフにし必要なサイトだけを信用できるサイトに登録する方法を紹介するとともに、対策パッチを開発中と報告している。
なお、Microsoftは、IEのIFRAME機能を使ってJavascriptのセキュリティ制限をかいくぐり、ユーザー側のマシンにあるファイルを読めてしまうというセキュリティ問題(本誌10月12日号参照)の英語版パッチも公開した。
('99/10/19)
[Reported by masaka@impress.co.jp]