JVNDB-2005-000731
|
Microsoft Internet Explorer における HTTPS プロキシサーバとの通信による情報漏洩の脆弱性
|
|
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
Microsoft Internet Explorer には、以下の複数のセキュリティ上の問題が存在します。
1) ファイルのダウンロードダイアログボックスを表示する方法と Web ページでユーザーの入力を受け付ける方法に問題が存在します。(CVE-2005-2829)
そのため、ダウンロードダイアログボックス上に、入力を受け付ける Web ページが表示されるよう巧妙に作成された Web サイトにおいて、[実行R] のショートカットキーの入力やダブルクリックの操作が誘導された場合、意図せずファイルをダウンロードし、実行してしまう可能性があります。
結果として、リモートの攻撃者の Web サイト上で特定の操作を誘導された場合、標的ユーザの権限で任意のコードが実行される可能性があります。
2) 基本認証を要求する認証プロキシサーバを HTTPS 通信のプロキシとして設定している状況下において、プロキシサーバへ送信される Web アドレスが平文で送信されてしまう問題が存在します。(CVE-2005-2830)
リモートの攻撃者にプロキシサーバとの通信が盗聴された場合、Web アドレスに含まれる重要な情報が取得されてしまう可能性があります。
3) 特定の COM オブジェクトを ActiveX コントロールとしてインスタンス化する際にメモリが破壊される問題が存在します。(CVE-2005-2831)
リモートの攻撃者により悪用された場合、標的ユーザの権限で任意のコードが実行される可能性があります。
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
マイクロソフト
- Microsoft Windows Server 2003
- Microsoft Windows XP sp3
|
|
|
本脆弱性に伴う影響については、「概要」をご参照ください。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
マイクロソフト
|
|
|
|
- CVE-2005-2830
|
|
- JVN : JVNTA05-347A
- JVN Status Tracking Notes : TRTA05-347A
- National Vulnerability Database (NVD) : CVE-2005-2830
- US-CERT Cyber Security Alerts : SA05-347A.
- US-CERT Technical Cyber Security Alert : TA05-347A
- Secunia Advisory : SA15368
- SecurityFocus : 15827
- SecurityFocus : 15825
- SecurityFocus : 15823
- FrSIRT Advisories : FrSIRT/ADV-2005-2867
- Secunia Research : 2005-21
- Secunia Research : 2005-7
|
|
|
