公開日:2004.03.11 13:47 最終更新日:2004.03.13 13:01

TRTA04-070A
Microsoft Outlook の mailto URL 解析処理に脆弱性

概要


Microsoft Outlook 2002 には mailto URL 解析処理に脆弱性が存在します。
脆弱性については遠隔から任意のコードを実行される可能性があり、第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコマンドやコードを実行する可能性があります。

影響を受けるシステム
 - Microsoft Office XP Service Pack 2
 - Microsoft Outlook 2002 Service Pack 2

時系列イベント


日時 (JST)内容
2003-07-21 VU#305206 の脆弱性をベンダに通知する (by jouko@iki.fi)
2003-10-10 (米国日付)VU#305206 の脆弱性を入手する (by iDEFENSE)
2003-11-12 (米国日付)VU#305206 の脆弱性をベンダに通知する (by iDEFENSE)
2004-03-10 03:13Full-Disclosure に iDEFENSE Security Advisory 03.09.04: Microsoft Outlook "mailto:" Parameter Passing Vulnerability が投稿される
#Post-Date: Tue, 9 Mar 2004 13:13:02 -0500
2004-03-10 07:33MS メーリングリスト経由で マイクロソフト セキュリティ情報 2004 年 3 月のセキュリティ情報 (Office) が届く
#Severity-Rating: Important (MS)
#Post-Date: Tue, 9 Mar 2004 14:33:27 -0800
2004-03-10 09:21MS メーリングリスト経由で Microsoft Office Security Bulletin Summary for March 2004 が届く
#Post-Date: Tue, 9 Mar 2004 16:21:17 -0800
2004-03-10 07:28@Police Outlook 2002の脆弱性について(MS04-009)(3/10) を Web 公開 [3/11 版に改訂のため削除]
2004-03-10 21:35Bugtraq に "Outlook mailto: URL argument injection vulnerability" が投稿される
#Post-Date: Wed, 10 Mar 2004 14:35:05 +0200
2003-03-11 04:40MS メーリングリスト経由で マイクロソフト セキュリティ情報 MS04-009 更新 が届く
#Severity-Rating: Critical (MS)
#Post-Date: Wed, 10 Mar 2004 11:40:40 -0800
2004-03-11 07:05@Police Outlook 2002の脆弱性について(MS04-009)更新(3/11) を Web 公開
#Last-Modified: Wed, 10 Mar 2004 22:05:23 GMT
2004-03-11 11:20First メーリングリスト経由で TA04-070A が届く
#Post-Date: 10 Mar 2004 21:06:10 -0500
2004-03-11 11:37US-CERT メーリングリスト経由で TA04-070A が届く
#Post-Date: 10 Mar 2004 21:06:44 -0500
2004-03-11 12:10CERT メーリングリスト経由で TA04-070A が届く
#Post-Date: 10 Mar 2004 21:11:21 -0500
2004-03-11 21:58Bugtraq に "RE: Outlook mailto: URL argument injection vulnerability" が投稿される
#Cid: outlooksploit.html
#Post-Date: Thu, 11 Mar 2004 12:58:18 +0000 (GMT)

参考情報


  1. Technical Cyber Security Alert TA04-070A
    Microsoft Outlook mailto URL Handling Vulnerability
  2. Vendor Status Note JVNTA04-070A
    Microsoft Outlook の mailto URL 解析処理に脆弱性