公開日:2004/10/20 最終更新日:2004/10/20

JVNTA04-293A
Microsoft Internet Explorer に複数の脆弱性

概要

Microsoft Internet Explorer(IE)に複数の脆弱性が確認されています。

VU#291304 - IEのCSS処理にバッファオーバーフロー
VU#637760 - IEのインストールエンジンにバッファオーバーフロー
VU#207264 - IEがファンクションリダイレクションを適切に処理しない
VU#526089 - IEがドラッグアンドドロップされた任意のファイルをイメージとして扱う
VU#413886 - IEがマウスイベントによる window オブジェクトの処理を許可


影響を受けるシステム

  • Microsoft Windows システム


詳細情報

想定される影響

遠隔から第三者がIEを実行しているユーザ権限で、任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
マイクロソフト Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)
富士通 TA04-293Aに対する富士通の情報
富士通 TA04-293Aに対するSolaris OEの情報

参考情報

  1. US-CERT Vulnerability Note VU#291304
    Microsoft Internet Explorer contains a buffer overflow in CSS parsing
  2. US-CERT Vulnerability Note VU#637760
    Microsoft Internet Explorer Install Engine contains a buffer overflow vulnerability
  3. US-CERT Vulnerability Note VU#207264
    Microsoft Internet Explorer does not properly handle function redirection
  4. US-CERT Vulnerability Note VU#526089
    Microsoft Internet Explorer treats arbitrary files as images for drag and drop operations
  5. US-CERT Vulnerability Note VU#413886
    Microsoft Internet Explorer allows mouse events to manipulate window objects and perform "drag and drop" operations
  6. ISS X-Force Database: ie-ms04038-patch (17651)
    Microsoft Internet Explorer MS04-038 patch is not installed
  7. ISS X-Force Database: ie-style-comment-dos (16857)
    Microsoft Internet Explorer STYLE tag comment denial of service
  8. ISS X-Force Database: ie-installenginectl-setciffile-bo (17620)
    Microsoft Internet Explorer InstallEngineCtl SetCifFile buffer overflow
  9. ISS X-Force Database: ie-function-redirect-xss (16681)
    Microsoft Internet Explorer function redirect cross-site scripting
  10. ISS X-Force Database: ie-dragdrop-code-execution (17044)
    Microsoft Internet Explorer dragDrop allows code execution
  11. ISS X-Force Database: win-ms03048-patch (13785)
    Microsoft Windows MS03-048 patch is not installed
  12. ISS X-Force Database: ie-dragdrop-file-save (13679)
    Microsoft Internet Explorer drag and drop could allow an attacker to save file to local system

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA04-293A
Multiple Vulnerabilities in Microsoft Internet Explorer
CPNI Advisory
TRnotes
CVE CAN-2004-0842
VU#291304,XF16857,XF17651
JVN iPedia