公開日:2005/07/12 最終更新日:2015/10/21

JVN#257C6F28
Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性

概要

Internet Explorer (以降 IE と表記) コンポーネントでは、表示対象となるWeb コンテンツが置かれている場所(ゾーン)に応じて Web コンテンツの処理に異なるセキュリティレベルが適用されます。

これにより、インターネット上の Web コンテンツには、「イントラネット」ゾーンにある Web コンテンツより高いセキュリティレベルが設定されている「インターネット」ゾーンで表示されます。

しかし、IE コンポーネントを使ったいくつかのアプリケーションは不適切なゾーンで Web コンテンツの処理を行うことが確認されています。

影響を受けるシステム

  • IE コンポーネント (IE 本体を含む) を利用して Web コンテンツを表示する製品

詳細情報

想定される影響

ユーザのコンピュータ上で、任意のコードがセキュリティレベルの低いゾーンで実行される可能性があります。これにより、第三者がユーザのコンピュータを完全に制御する可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
オレンジソフト 該当製品無し 2005/09/05
サイボウズ 該当製品無し 2005/07/12
ジャストシステム 該当製品あり 2005/07/12
マナックス 該当製品あり 2005/07/12
ヤマハ 該当製品無し 2005/10/14
ユミルリンク 該当製品あり 2005/07/12 ユミルリンク の告知ページ
リコー 該当製品無し 2006/03/10
富士通株式会社 該当製品あり 2015/10/13
富士電機システムズ 該当製品無し 2005/07/12
日本電気 該当製品無し(調査中) 2005/07/12
日立 該当製品あり 2011/09/16
株式会社日本標準 該当製品あり 2005/07/12

参考情報

  1. IPA
    Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性
  2. Microsoft
    Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法
  3. Microsoft
    Internet Explorer の Web コンテンツのゾーンでセキュリティレベルを設定する方法
  4. Microsoft
    Introduction to URL Security Zones
  5. Microsoft
    Mark of the Web

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2005/07/12
株式会社日本標準の JVN#257C6F28への対応が更新されました。
2005/07/12
ジャストシステムの JVN#257C6F28への対応が更新されました。
2005/07/12
富士電機システムズの JVN#257C6F28への対応が更新されました。
2005/07/12
ユミルリンクの JVN#257C6F28への対応が更新されました。
2005/07/12
日立の JVN#257C6F28への対応が更新されました。
2005/07/12
マナックスの JVN#257C6F28への対応が更新されました。
2005/07/12
富士通の JVN#257C6F28への対応が更新されました。
2005/07/12
ユミルリンクの JVN#257C6F28への対応が更新されました。
2005/07/12
富士通の JVN#257C6F28への対応が更新されました。
2005/07/12
日本電気の JVN#257C6F28への対応が更新されました。
2005/09/02
サイボウズの JVN#257C6F28への対応が更新されました。
2005/09/05
オレンジソフトの JVN#257C6F28への対応が更新されました。
2005/09/06
ベンダ情報:オレンジソフトの情報を変更しました。
2005/09/09
ベンダ情報:富士通の情報を更新しました。
2005/09/09
富士通の JVN#257C6F28への対応が更新されました。
2005/10/04
ベンダ情報:富士通の情報を更新しました。
2005/10/04
富士通の JVN#257C6F28への対応が更新されました。
2005/10/14
ベンダ情報:ヤマハの情報を更新しました。
2005/10/14
ヤマハの JVN#257C6F28への対応が更新されました。
2005/10/28
ベンダ情報:富士通の情報を更新しました。
2005/10/28
富士通の JVN#257C6F28への対応が更新されました。
2006/02/02
日立の JVN#257C6F28への対応が更新されました。
2006/02/06
ベンダ情報:日立の情報を更新しました。
2006/02/07
日立の JVN#257C6F28への対応が更新されました。
2006/02/08
ベンダ情報:日立の情報を更新しました。
2006/03/10
ベンダ情報:リコーの情報を追加しました。
2006/03/10
リコーの JVN#257C6F28への対応が更新されました。
2010/09/20
株式会社 日立製作所のベンダステータスが更新されました
2011/09/16
[ベンダ情報]の株式会社 日立製作所の名称を日立に変更しました
2015/10/21
富士通株式会社のベンダステータスが更新されました