公開日:2003/07/15 最終更新日:2003/07/15

JVNCA-2003-14
Microsoft Windows の HTML 変換機能にバッファオーバーフロー問題

概要

Microsoft Windows の HTML 変換機能 (HTML コンバータ) には、バッファオーバーフローの脆弱性があります。
第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコードを実行する可能性があります。

影響を受けるシステム

  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Me
  • Microsoft Windows NT Server 4.0
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

詳細情報

想定される影響

脆弱な HTML 変換機能 (HTML コンバータ) を使用しているプログラム (IE, Outlook, Outlook Express など) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、そのプログラムを経由して第三者が任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2003-14に対する富士通の情報
富士通 CA-2003-14に対するSolaris OEの情報
マイクロソフト HTML コンバータのバッファ オーバーランにより、コードが実行される (823559) (MS03-023)

参考情報

  1. CERT Vulnerability Note VU#823260
    Microsoft Windows HTML conversion library vulnerable to buffer overflow
  2. CIAC Bulletin N-114
    Buffer Overrun in Microsoft HTML Converter Could Allow Code Execution
  3. ISS X-Force Database: ie-html-bo (12444)
    Microsoft Internet Explorer HTML conversion library buffer overflow
  4. 警察庁
    Windowsの脆弱性について (MS03-023,024,025)
  5. LAC
    CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2003-2801
JPCERT/CC REPORT 2003-07-16
CERT Advisory CERT Advisory CA-2003-14
Buffer Overflow in Microsoft Windows HTML Conversion Library
CPNI Advisory
TRnotes
CVE CAN-2003-0469
VU#823260,XF12444
JVN iPedia