【活用ガイド】

[English]

JVNDB-2005-000775

Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性

概要

Internet Explorer (以降 IE と表記) コンポーネントでは、表示対象となるWeb コンテンツが置かれている場所(ゾーン)に応じて Web コンテンツの処理に異なるセキュリティレベルが適用されます。

これにより、インターネット上の Web コンテンツには、「イントラネット」ゾーンにある Web コンテンツより高いセキュリティレベルが設定されている「インターネット」ゾーンで表示されます。

しかし、IE コンポーネントを使ったいくつかのアプリケーションは不適切なゾーンで Web コンテンツの処理を行うことが確認されています。

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.4 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


ジャストシステム
  • ネタの種 2005.07.12公開版より前のバージョン
ユミルリンク
  • 紙2001 ver1.9 およびそれ以前
  • 紙copi ver2.37 およびそれ以前 (紙 Professional 含む)
日立ソフトウェアエンジニアリング
  • DNASIS Pro V1.0,V2.0,V2.2,V2.2.3,V2.2.5,V2.6,V2.6.1,V2.6.3 (スタンドアロン版・ネットワーク版)
富士通
  • ATLAS
  • ATLAS翻訳 (server) 
  • ATLAS翻訳 (personal) 
  • BizLingo
  • ES@SCHOOL
  • Japanist
  • SIMPLIA/JF ClientMate
  • SIMPLIA/TF-WebTest
  • ひらがなナビィ
  • らくらくブラウザ
  • らくらくメール
  • 翻訳サーフィン

想定される影響

ユーザのコンピュータ上で、任意のコードがセキュリティレベルの低いゾーンで実行される可能性があります。これにより、第三者がユーザのコンピュータを完全に制御する可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

ジャストシステム ユミルリンク 日立ソフトウェアエンジニアリング
  • ライフサイエンスソリューション : iezone_issue
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#257C6F28
  2. IPA セキュリティセンター : JVN_257C6F28
更新履歴

  • [2007年04月01日]
      掲載
    [2010年10月12日]
      ベンダ情報:日立ソフトウェアエンジニアリング (iezone_issue) の情報を更新

公表日2005/07/12
登録日2007/04/01
最終更新日2010/10/12