公開日:2004/04/09 最終更新日:2004/04/09

JVNTA04-099A
Microsoft Internet Explorer に含まれる ITS プロトコルハンドラの脆弱性

概要

Microsoft Internet Explorer には、InfoTech Storage (ITS) プロトコルハンドラが Compiled HTML Help (CHM) ファイルに保存された HTML コンポーネントのセキュリティドメインを適切に判定しないために、クロスドメイン・スクリプティングの脆弱性が存在します。

なお、この問題の修正プログラムがリリースされるまでの回避策として、ITS プロトコルハンドラを無効にする方法などがあります。

影響を受けるシステム

  • Microsoft Windows 上で稼動する Internet Explorer

詳細情報

想定される影響

遠隔から第三者が、Web ページや HTML 形式の電子メールなどを経由して Microsoft Internet Explorer を実行しているユーザの権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-099Aに対する富士通の情報
富士通 TA04-099Aに対するSolaris OEの情報
マイクロソフト Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)

参考情報

  1. US-CERT Vulnerability Note VU#323070
    Microsoft Internet Explorer does not properly validate source of CHM components referenced by ITS protocol handlers
  2. AusCERT Update AU-2004.007
    Vulnerability in Internet Explorer Allows Program Execution
  3. ISS X-Force Database: ie-chm-code-execution(15316)
    Microsoft Internet Explorer .chm file could allow code execution

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA04-099A
Vulnerability in Internet Explorer ITS Protocol Handler
CPNI Advisory
TRnotes
CVE CAN-2004-0380
VU#323070,XF15316
JVN iPedia