公開日:2004/06/14 最終更新日:2004/06/14

JVNTA04-163A
Internet Explorer に クロスドメイン・リダイレクトの脆弱性

概要

Microsoft Internet Explorer には、リダイレクト操作でアクセス先が変更された場合のセキュリティゾーン決定方法に脆弱性が存在します。
脆弱性については遠隔から任意のコードを実行される可能性があり、第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコマンドやコードを実行する可能性があります。

この問題は、Outlook や Outlook Express のように HTML の解釈に Internet Explorer の機能を使用しているソフトウェアを使う際にも発生します。

影響を受けるシステム

  • Microsoft Windows システム

詳細情報

想定される影響

遠隔から第三者が、Web ページや HTML 形式の電子メールなどを経由して Microsoft Internet Explorer を実行しているユーザの権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-163Aに対する富士通の情報
富士通 TA04-163Aに対するSolaris OEの情報
マイクロソフト Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)

参考情報

  1. US-CERT Vulnerability Note VU#713878
    Microsoft Internet Explorer does not properly validate source of redirected frame
  2. ISS X-Force Database: ie-location-restriction-bypass(16348)
    Microsoft Internet Explorer Location
  3. ISS X-Force Database: ie-zone-bypass(16361)
    Microsoft Internet Explorer bypass cross-zone restrictions

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-2301
JPCERT/CC REPORT 2004-06-16
CERT Advisory Technical Cyber Security Alert TA04-163A
Cross-Domain Redirect Vulnerability in Internet Explorer
CPNI Advisory
TRnotes
CVE CAN-2004-0549
VU#713878,XF16348
JVN iPedia