|
[English]
|
JVNDB-2008-000070
|
Internet Explorer における CDO によるダウンロードのダイアログボックス回避の脆弱性
|
|
Internet Explorer には、CDO (Collaboration Data Objects) によりダウンロードのダイアログボックスを回避可能な問題が存在します。
Internet Explorer には、CDO (Collaboration Data Objects) でウェブサイトにアクセスする際に、Content-Disposition を正しく処理せず、本来ダウンロードのダイアログボックスが表示されるべき個所で表示しない問題があります。
この問題は Internet Explorer で CDO の処理に使用している Office コンポーネントに原因があり、修正は Microsoft Office 側で行われています。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:ネットエージェント株式会社
|
|
|
CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
マイクロソフト
- Microsoft Office xp Service Pack 3
|
|
|
ダウンロードのダイアログボックスが表示されないため、意図せず任意のスクリプトを実行される可能性があります。
|
|
[アップデートする]
ベンダの提供する情報をもとに最新バージョンへアップデートしてください。
|
|
マイクロソフト
富士通
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2008-4020
|
|
- JVN : JVN#55410403
- JVN : JVNTA08-288A
- JVN Status Tracking Notes : TRTA08-288A
- National Vulnerability Database (NVD) : CVE-2008-4020
- JPCERT 緊急報告 : JPCERT-AT-2008-0017
- 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて
- US-CERT Cyber Security Alerts : SA08-288A
- US-CERT Technical Cyber Security Alert : TA08-288A
- Secunia Advisory : SA32138
- SecurityFocus : 31693
- FrSIRT Advisories : FrSIRT/ADV-2008-2807
- JVN iPedia (English) : JVNDB-2008-000070
|
|
|
