|
■URL
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
米Microsoftは29日、Internet Explorer(IE)に、HTML形式の電子メールに添付されたファイルを自動的に起動してしまうセキュリティホールが見つかったと報告した。この脆弱性の影響を受けるのは、IE5.01とIE5.5。Microsoftでは、この脆弱性が悪意のあるコードを実行するのに利用される可能性があるとして注意を呼びかけている。
HTMLメールはWebページと同じであるため、IEはそれらを再現して添付ファイルをMIMEヘッダに合わせて開くことができる。しかし、特定のMIMEヘッダの処理に問題があり、HTMLメールの添付ファイルに問題のMIMEヘッダが指定されていると、IEが電子メールを再現する際に添付ファイルを自動的に起動してしまう。
これを利用して、攻撃者は問題を起こすHTMLメールを含んだWebページを作成し、そのページにアクセスするよう誘導してHTMLメールを開かせ、添付ファイルを実行することができる。また攻撃者は、ユーザーに直接問題のあるHTMLメールを送ることもできる。
Microsoftは、この問題に対応する英語版の修正成パッチを公開しており、日本語版も現在準備中だという。また、電子メールが再現されるセキュリティゾーンでファイルのダウンロードを無効にしていれば影響はないとしている。
(2001/4/2)
[Reported by hiro@nakajima-gumi.net]