公開日:2004.06.14 12:56 最終更新日:2004.08.01 17:50

TRTA04-163A
Internet Explorer に クロスドメイン・リダイレクトの脆弱性

概要


Microsoft Internet Explorer には、リダイレクト操作でアクセス先が変更された場合のセキュリティゾーン決定方法に脆弱性が存在します。
脆弱性については遠隔から任意のコードを実行される可能性があり、第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコマンドやコードを実行する可能性があります。

この問題は、Outlook や Outlook Express のように HTML の解釈に Internet Explorer の機能を使用しているソフトウェアを使う際にも発生します。

影響を受けるシステム
 - Microsoft Windows システム

時系列イベント


日時 (JST)内容
2004-06-03 11:20Full-Disclosure に "180 Solutions Exploits and Toolbars Hacking Patched Users(I.E Exploits)" が投稿される
#Post-Date: Wed Jun 02 2004 - 21:20:48 CDT
2004-06-07 10:21Full-Disclosure に VU#713878(CAN-2004-0549) の脆弱性に関する報告 "Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)" が投稿される
#Post-Date: Sun Jun 06 2004 - 20:21:52 CDT
2004-06-08 (米国日付)Secunia Advisory: SA11793 Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities (VU#713878/CAN-2004-0549 の脆弱性) を Web 公開
2004-06-10 eEye Digital Security 脆弱性 VU#713878(CAN-2004-0549) の修正プログラムがリリースされるまでの回避策として 'Zero-Day' Internet Explorer Flaw Detected (IESecurityRegFixer) をリリース
2004-06-12 05:59First メーリングリスト経由で TA04-163A が届く
#Post-Date: Fri, 11 Jun 2004 16:43:02 -0400
2004-06-12 06:04US-CERT メーリングリスト経由で TA04-163A が届く
#Post-Date: Fri, 11 Jun 2004 16:43:36 -0400
2004-06-12 06:46CERT メーリングリスト経由で TA04-163A が届く
#Post-Date: Fri, 11 Jun 2004 16:54:05 -0400
2004-06-25 MS04-011/VU#586540, XF16394 を悪用
マイクロソフト Download.Ject に関する情報(*5) を Web 公開
2004-06-25 23:35ISS AlertCon ? => ?
2004-06-27 13:15MS04-011/VU#586540, XF16394 を悪用
ISSKK Internet Explorer クロスゾーンの脆弱点の悪用 を Web 公開
#Last-Modified: Sun, 27 Jun 2004 04:15:25 GMT
2004-06-28 23:45ISS AlertCon ? => ?
2004-07-31 03:29MS メーリングリスト経由で マイクロソフト セキュリティ情報 MS04-025 緊急 が届く
#Post-Date: Fri, 30 Jul 2004 11:29:44 -0700

参考情報


  1. Technical Cyber Security Alert TA04-163A
    Cross-Domain Redirect Vulnerability in Internet Explorer
  2. Vendor Status Note JVNTA04-163A
    Internet Explorer に クロスドメイン・リダイレクトの脆弱性