JVNDB-2004-000274

Microsoft Internet Explorer における popup.show の呼び出しにより任意のファイルを保存される脆弱性

Microsoft Internet Explorer には、画像タグのスクリプトを処理する方法に不備が存在するため、Popup.show の悪用によりドラッグ ＆ドロップ操作を強制的に実行される問題があります。本脆弱性は "HijackClick3" と呼ばれています。

マイクロソフト

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6
• Microsoft Windows 2000
• Microsoft Windows 9X 98  
• Microsoft Windows 9X 98 scd 
• Microsoft Windows 9X me  
• Microsoft Windows NT 4.0 (server) 
• Microsoft Windows NT 4.0 (terminal_srv) 
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 (x64) 
• Microsoft Windows XP sp3 
• Microsoft Windows XP (x64) 

第三者が細工したメールや Web サイトを表示してしまうことで、意図しないドラッグ＆ドロップ操作が実行されてしまい、任意のファイルをシステム上に保存される可能性があります。なお、Microsoft Windows XP SP2 上の Internet Explorer 6 は影響を受けません。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

マイクロソフト

• Microsoft Security Bulletin : MS04-038
• マイクロソフト セキュリティ情報 : MS04-038

1. その他(CWE-Other) [NVD評価]

1. CVE-2004-0841

1. National Vulnerability Database (NVD) : CVE-2004-0841
2. US-CERT Cyber Security Alerts : SA04-286A
3. IPA セキュリティセンター : 20041013-ms04-038
4. Secunia Advisory : SA12048
5. SecurityFocus : 10690
6. ISS X-Force Database : 16675
7. SecurityTracker : 1010679
8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 7774

• [2007年04月01日]
    掲載