JVNDB-2007-000764

Internet Explorer 7 がインストールされている Windows 環境における任意のプログラムが実行される脆弱性

Internet Explorer 7 がインストールされている Windows XP の環境化において、URL の取り扱いに不備が存在するために、mailto: URI 中の「%」文字、もしくはその他の URI ハンドラによって、任意のプログラムを実行される脆弱性が存在します。
この問題は、JVNDB-2007-000591 (CVE-2007-3845) に関連する問題です。

マイクロソフト

• Microsoft Internet Explorer 7
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 (itanium) 
• Microsoft Windows Server 2003 (x64) 
• Microsoft Windows XP sp3 
• Microsoft Windows XP (x64) 

第三者により、任意のプログラムを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

マイクロソフト

• Microsoft Knowledge Base : KB943521
• Microsoft Knowledge Base (日本語版) : KB943521
• Microsoft Security Advisory : 943521
• Microsoft Security Bulletin : MS07-061
• マイクロソフト セキュリティ アドバイザリ : 943521
• マイクロソフト セキュリティ情報 : MS07-061
• 絵でみるセキュリティ情報 : MS07-061e

富士通

• 富士通 公開脆弱性情報 : TA07-297B
• 富士通 公開脆弱性情報 : TA07-317A

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2007-3896

1. JVN : JVNTA07-297B
2. JVN : JVNTA07-317A
3. JVN Status Tracking Notes : TRTA07-297B
4. JVN Status Tracking Notes : TRTA07-317A
5. National Vulnerability Database (NVD) : CVE-2007-3896
6. JPCERT 緊急報告 : JPCERT-AT-2007-0022
7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて
8. US-CERT Cyber Security Alerts : SA07-297B
9. US-CERT Cyber Security Alerts : SA07-317A
10. US-CERT Vulnerability Note : VU#403150
11. US-CERT Technical Cyber Security Alert : TA07-297B
12. US-CERT Technical Cyber Security Alert : TA07-317A
13. IPA 緊急対策情報 : Windows の URI 処理の脆弱性(MS07-061)について
14. Secunia Advisory : SA26201
15. SecurityFocus : 25945
16. SecurityTracker : 1018822

• [2007年10月22日]
    掲載
  [2007年11月29日]
    ベンダ情報: マイクロソフト (MS07-061) を追加しました。
    ベンダ情報: 富士通 (TA07-297B, TA07-317A) を追加しました。