• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS01-020 - 重大

MIME ヘッダーが正しくないと、IE で電子メールの添付ファイルが実行される可能性があります

公開日: 2001 年 3 月 29 日 |更新日: 2003 年 6 月 23 日

バージョン: 1.3

投稿日: 2001 年 3 月 29 日
更新日: 2003 年 6 月 23 日

まとめ
このセキュリティ情報を読む必要があるユーザー:
Microsoft® インターネット エクスプローラーを使用しているお客様。

脆弱性の影響:
攻撃者が選択したコードを実行します。

推奨事項:
IE を使用しているお客様は、直ちに修正プログラムをインストールする必要があります。

影響を受けるソフトウェア:

  • Microsoft Internet エクスプローラー 5.01

  • Microsoft Internet エクスプローラー 5.5

    注: インターネット エクスプローラー 5.01 Service Pack 2 はこの脆弱性の影響を受けません。

一般情報

技術詳細

技術的な説明:

HTML 電子メールは単なる Web ページであるため、IE はそれらをレンダリングし、MIME の種類に適した方法でバイナリ添付ファイルを開くことができます。 ただし、特定の異常な MIME の種類に対して指定された処理の種類に欠陥が存在します。 攻撃者が実行可能な添付ファイルを含む HTML 電子メールを作成し、その添付ファイルが IE が誤って処理する通常とは異なる MIME の種類の 1 つであることを指定するように MIME ヘッダー情報を変更した場合、電子メールのレンダリング時に IE によって添付ファイルが自動的に起動されます。

攻撃者は、2 つのシナリオのいずれかでこの脆弱性を使用する可能性があります。 Web サイトで影響を受ける HTML 電子メールをホストし、別のユーザーにアクセスを勧め、Web ページ上のスクリプトでメールを開き、実行可能ファイルを開始する可能性があります。 または、HTML メールをユーザーに直接送信することもできます。 どちらの場合も、実行可能な添付ファイルが実行された場合、システムに対するユーザーのアクセス許可によってのみ制限されます。

この脆弱性は、修正プログラムをインストールするか、影響を受けないバージョンにアップグレードすることで排除できます。 ただし、FAQ とサポート技術情報の記事Q308411で説明したように、Windows 95、98、98、または ME で IE 6 にアップグレードするユーザーはStandard Edition、脆弱性を排除するために、一般的なインストール (これが既定) またはフル インストールを選択する必要があります。

軽減要因:

  • 電子メールが表示されるセキュリティ ゾーンでファイルのダウンロードが無効になっている場合、この脆弱性は悪用されません。 ただし、これはどのゾーンでも既定の設定ではありません。

脆弱性識別子:CAN-2001-0154

テスト済みバージョン:

Microsoft は IE 5.01 と IE 5.5 をテストして、この脆弱性の影響を受けるかどうかを評価しました。 以前のバージョンはサポートされなくなり、この脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

この脆弱性の範囲は何ですか?
この脆弱性により、攻撃者は別のユーザーのコンピューターで自分が選択したプログラムを実行する可能性があります。 このようなプログラムは、データの追加、変更または削除、Web サイトとの通信、ハード ドライブの再フォーマットなど、ユーザー自身が自分のコンピューターで実行できる任意のアクションを実行できます。
攻撃者がこの脆弱性を介してユーザーを攻撃するには、自分が制御する Web サイトを参照するか、送信した HTML 電子メールを開くようユーザーを説得できる必要があります。

この脆弱性の原因は何ですか?
HTML メールに、MIME の種類が誤っていくつかの異常な種類の 1 つとして指定されている実行可能な添付ファイルが含まれている場合、IE の欠陥により、警告ダイアログが表示されずに添付ファイルが実行されます。

IE を使用して HTML メールを処理する理由 Outlook や Outlook Express などのメール プログラムがメールの表示を担当していると思っていました。
一般に、これらは次のとおりです。 メール クライアントは、電子メールの作成、送信、受信、および表示を処理します。 ただし、1 つの例外があります。メールが HTML メールの場合は、IE に依存して "レンダリング" と呼ばれるプロセスを実行します。 レンダリングは、Web ページを処理して表示するプロセスです。 HTML メールは、基本的にメールとして送信される Web ページであるため、IE によってレンダリングされます。 この場合の欠陥には、IE が HTML メールをレンダリングする方法が含まれます。

IE による HTML メールのレンダリング方法に関する問題は何ですか?
メールに添付ファイルが含まれている場合、IE はメッセージをレンダリングするときに添付ファイルを開く機能を提供する必要があります。 "open" の正確な意味は、ファイルの種類によって異なります。 添付ファイルがテキスト ファイルの場合は、IE で読み取る機能を提供する必要があります。ビデオ クリップの場合、IE はそれを表示する機能を提供する必要があります。それがグラフィックスファイルの場合、IEはそれを表示する機能を提供する必要があります。などなど。
実行可能ファイルなど、一部の種類の添付ファイルは本質的に危険です。 このような場合、IE は、ユーザーが明示的に添付ファイルを開くことを明示的に要求し、開くことを確認する場合にのみ、添付ファイルを開く必要があります。 ただし、この欠陥により、電子メールで不適切な MIME の種類を指定することで、このセーフガードを回避できます。

MIME の種類とは
MIME とは何かから始めましょう。 MIME は、多目的インターネット メール拡張機能の頭字語です。 バイナリ ファイルを電子メールの添付ファイルとしてエンコードするために広く使用されているインターネット標準です。 電子メールにバイナリ添付ファイルが含まれている場合は、メール プログラムが正しく解釈できるように、添付ファイルの種類を指定する必要があります。
この脆弱性の場合、IE では特定の種類の非常に異常な MIME の種類が正しく処理されません。 攻撃者が実行可能な添付ファイルを含む電子メール メッセージを作成し、それがこれらの MIME の種類の 1 つであると指定した場合、IE はユーザーにメッセージを表示するのではなく、添付ファイルを実行します。

IE は常に添付ファイルを実行しますか?
いいえ。 IE は、電子メールが開かれたセキュリティ ゾーンファイルダウンロードが有効になっている場合にのみ、添付ファイルを実行します。 ただし、既定では、ファイルダウンロードはすべてのゾーンで有効になっています。

この脆弱性により、攻撃者は何を実行できるでしょうか。
攻撃者がこの脆弱性を悪用する電子メールを作成した場合、別のユーザーのコンピューターで実行可能な添付ファイルを実行しようと試みるために電子メールを使用する可能性があります。 彼女は、2 つのシナリオのいずれかを使用してこれを行う可能性があります。 最初に、Web サイトで HTML メールをホストし、ユーザーにアクセスを勧めることができました。 次に、ユーザーに直接メールを送信できます。

添付ファイルが実行された場合、どのようなアクションを実行できますか?
添付ファイルは、ユーザー自身が自分のシステムで実行できる任意のアクションを実行できます。 特権のないユーザーであれば、ほとんど実行できない可能性があります。 ただし、ユーザーが自分のシステムの管理者であった場合、添付ファイルは、ハード ドライブの再フォーマットを含め、事実上何でも実行できます。

この脆弱性を悪用する電子メールが誤って作成される可能性がありますか?
いいえ。 このような電子メールを作成するには、攻撃者は実行可能な添付ファイルを含む電子メールを作成してから、影響を受ける種類の 1 つになるようにメール内の MIME ヘッダーを意図的に編集する必要があります。

パッチは何をしますか?
この修正プログラムは、IE で MIME の種類とそれに関連付けられているアクションのテーブルを修正することで、この脆弱性を排除します。 これは、電子メールが実行可能な添付ファイルを自動的に起動できないようにする効果があります。

IE 5.01 Service Pack 2 を既にインストールしています。 パッチをインストールする必要がありますか?
いいえ。 この問題の修正プログラムは、IE 5.01 Service Pack 2 に含まれています。 既にインストールしている場合は、パッチをインストールする必要はありません。

この脆弱性は IE 6 に影響しますか?
いいえ。 IE 6 にアップグレードすることで、この脆弱性を排除できます。 ただし、Windows 95、98、98、または ME を実行している場合はStandard Edition、特定の方法で IE 6 をインストールする必要があることに注意する必要があります。 具体的には、[フル インストール] または [一般的なインストール] オプションを選択する必要があります。 (既定のインストールの種類は [一般的なインストール] です)。 [最小インストール] または [カスタム インストール] を選択した場合、脆弱性を含むファイルがアップグレードされず、システムが脆弱メイン可能性があります。
Windows NT 4.0、Windows 2000、または Windows XP を実行しているお客様は、このコンティンジェンシーに関心を持つ必要はありません。IE 6 では、これらのシステムにインストールするときに最小インストールまたはカスタム インストール オプションが提供されないためです。 これらのシステムのいずれかで IE 6 にアップグレードすると、脆弱性が完全に排除されます。 詳細については、サポート技術情報の記事Q308411を参照してください。

このパッチを適用した後でも、電子メールでファイルのダウンロードが自動的に開始される可能性があると聞きました。 これは本当ですか?
はい。 ただし、これはこの脆弱性とは関係なく、セキュリティ 上のリスクを引き起こすものではありません。 電子メールでファイルのダウンロードを開始することは常に可能です。もちろん、メールの作成者はファイルに無害な名前を付けることができます。 ただし、ユーザーがダウンロードする場所を選択して [OK] ボタンをクリックしない限り、ファイルのダウンロードを実際に開始することはできません。
一般的なルールとして、ファイルのダウンロードを自動的に開始する電子メールの信頼性に疑問を持つ価値があります。 最適なアクションは、ダイアログの [キャンセル] ボタンをクリックするだけです。

パッチの可用性

このパッチのダウンロード場所

このパッチに関する追加情報

インストール プラットフォーム:

このパッチは、インターネット エクスプローラー 5.01 Service Pack 1 またはインターネット エクスプローラー 5.5 Service Pack 1 を実行しているシステムにインストールできます。

今後のサービス パックに含める:

この問題の修正プログラムは、インターネット エクスプローラー 5.01 Service Pack 2 に含まれており、インターネット エクスプローラー 5.5 Service Pack 2 に含まれます。

修正プログラムのインストールの確認:

  • コンピューターに修正プログラムがインストールされていることを確認するには、IE を開き、[ヘルプ] を選択し、[インターネット エクスプローラーについて] を選択し、[更新プログラムのバージョン] フィールドにQ290108が表示されていることを確認します。
  • 個々のファイルを確認するには、サポート技術情報の記事で提供されているパッチ マニフェストを使用Q290108

注意事項:

  • IE のバージョンが設計されているバージョン以外のバージョンの IE を実行しているシステムに修正プログラムがインストールされている場合は、修正プログラムが必要ないことを示すエラー メッセージが表示されます。 このメッセージは正しくありません。このメッセージが表示されるお客様は、サポートされているバージョンの IE にアップグレードし、修正プログラムを再インストールする必要があります。
  • Windows 95、98、98 Standard Edition、または ME を使用していて、影響を受けるバージョンから IE 6 にアップグレードしてこの問題を排除することを選択しているお客様は、FAQ で説明されているように、フル インストールまたは一般的なインストールを実行する必要があります。

ローカライズ:

このパッチのローカライズされたバージョンは開発中です。 完了すると、「他のセキュリティ パッチの取得」で説明されている場所で使用できるようになります。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

  • セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
  • パッチは、WindowsUpdate Web サイトから入手することもできます

その他の情報:
受信確認

Microsoft は、この問題を報告し、お客様を保護するために Microsoft と協力してくださった Juan Carlos Cuartango (https://www.kriptopolis.com) に感謝します。

サポート:

  • マイクロソフト サポート技術情報の記事Q290108この問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります
  • テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2001 年 3 月 29 日): セキュリティ情報が作成されました。
  • V1.1 (2001 年 5 月 25 日): この問題の修正プログラムが MS01-027 用にリリースされたパッチに含まれていることに注意するように改訂されました。
  • V1.2 (2001 年 9 月 21 日): この脆弱性を IE 6 のアップグレードによって排除する場合に、完全インストールまたは一般的なインストールを実行する必要性について説明するために更新されました。
  • V1.3 (2003 年 6 月 23 日): Windows Update のダウンロード リンクを更新しました。

ビルド日: 2014-04-18T13:49:36Z-07:00