マイクロソフト セキュリティ アドバイザリ (980088)Internet Explorer の脆弱性により、情報漏えいが起こる公開日: 2010年2月4日 | 最終更新日: 2010年6月10日
マイクロソフトは Windows XP を実行しているお客様、または Internet Explorer の保護モードを無効にしているお客様についての一般に公開された Internet Explorer に存在する脆弱性の報告を現在調査中です。このアドバイザリでは、この問題に対する回避策および問題を緩和する要素とともに、影響を受ける Internet Explorer のバージョンに関する情報を提供しています。 これまでのマイクロソフトの調査では、ユーザーが保護モードで実行されていない Internet Explorer のバージョンを使用している場合、攻撃者はファイル名と場所が分かっているファイルにアクセスできる可能性があります。これらのバージョンには Microsoft Windows 2000 Service 4 上の Internet Explorer 5.01 Service Pack 4、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、サポートされているエディションの Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows Server 2003 Service Pack 2 上の Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 を含みます。保護モードはこの脆弱性が悪用されることを防ぎ、既定で Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 上の Internet Explorer のバージョンで実行されています。 情報が悪意のある Web サイトに公開される方法でローカル ファイルからコンテンツが不正確にレンダリングされるため、この脆弱性が存在します。 マイクロソフトは、主に新しいバージョンの Internet Explorer である Internet Explorer 7 および Internet Explorer 8 に存在する既知の攻撃経路の問題を解決するセキュリティ情報 MS10-035 をリリースしました。 しかしながら、全てのバージョンの Internet Explorer がこの問題の対象となる可能性が残っています。攻撃者がユーザーのシステム上の予測しやすい場所の中のコンテンツをキャッシュし、ユーザー名を確認することができた場合、攻撃者はユーザーがアクセスしたローカルシステム上のファイルを閲覧することができる場合があります。 現時点で、マイクロソフトはこの脆弱性を悪用しようとする攻撃を確認していません。マイクロソフトは引き続き脅威の環境を監視し、この状況に変化が生じた場合、このアドバイザリを更新する予定です。この調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース プロセス、またはお客様のニーズにより、定例外のセキュリティ更新プログラムを提供する場合があります。 マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) および Microsoft Security Response Alliance (MSRA) プログラムで積極的にパートナーと協力しています。さらに、積極的にパートナーと協力しながら、脅威全体を監視して、この脆弱性を悪用しようとする悪質なサイトに対して措置を講じます。 マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウイルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。詳細情報は マイクロソフト セキュリティ At Home をご覧ください。 問題を緩和する要素:
概説リソース:
免責: この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。 更新履歴:
|