公開日:2004/03/11 最終更新日:2004/03/11

JVNTA04-070A
Microsoft Outlook の mailto URL 解析処理に脆弱性

概要

Microsoft Outlook 2002 には mailto URL 解析処理に脆弱性が存在します。
脆弱性については遠隔から任意のコードを実行される可能性があり、第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコマンドやコードを実行する可能性があります。

影響を受けるシステム

  • Microsoft Office XP Service Pack 2
  • Microsoft Outlook 2002 Service Pack 2

詳細情報

想定される影響

第三者が脆弱なシステム上のユーザ権限で任意のコードを実行する可能性があります。また、ウイルス、ワーム、その他の悪質なコードを流布させる際に利用する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-070Aに対する富士通の情報
富士通 TA04-070Aに対するSolaris OEの情報
マイクロソフト Outlook の脆弱性により、コードが実行される (828040) (MS04-009)

参考情報

  1. US-CERT Vulnerability Note VU#305206
    Microsoft Outlook fails to properly filter parameters passed via "mailto:" URL
  2. CIAC Bulletin O-096
    Microsoft Outlook Could Allow Unauthorized Code Execution
  3. iDEFENSE
    Microsoft Outlook "mailto:" Parameter Passing Vulnerability
  4. 警察庁
    Outlook 2002の脆弱性について(MS04-009)更新(3/11)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-1101
JPCERT/CC REPORT 2004-03-17
CERT Advisory Technical Cyber Security Alert TA04-070A
Microsoft Outlook mailto URL Handling Vulnerability
CPNI Advisory
TRnotes
CVE CAN-2004-0121
VU#305206
JVN iPedia