[アーティクル]
08/11/2023

セキュリティ情報

Microsoft セキュリティ情報 MS03-032 - 重大

インターネットエクスプローラーの累積的な修正プログラム (822925)

公開日: 2003 年 8 月 20 日 |更新日: 2003 年 10 月 3 日

バージョン: 1.4

投稿日: 2003 年 8 月 20 日改訂日: 2003 年 10 月 3 日

まとめ

このセキュリティ情報を読む必要があるユーザー: Microsoft® インターネットエクスプローラーを使用しているお客様。

脆弱性の影響: 2 つの新しい脆弱性。最も深刻なものは、ユーザーが敵対的な Web サイトを参照するか、特別に細工された HTML ベースの電子メールメッセージを開いた場合に、攻撃者がユーザーのシステムで任意のコードを実行できるようにする可能性があります。

最大重大度評価: 重大

推奨事項: システム管理者は、パッチを直ちにインストールする必要があります。

影響を受けるソフトウェア:

Microsoft Internet エクスプローラー 5.01
Microsoft Internet エクスプローラー 5.5
Microsoft Internet エクスプローラー 6.0
Microsoft Internet エクスプローラー 6.0 for Windows Server 2003

このセキュリティ情報のエンドユーザーバージョンは、次のページで入手できます。

https:.

一般情報

技術詳細

技術的な説明:

Microsoft は、2003 年 8 月 20 日にこのセキュリティ情報を発行しました。セキュリティ情報を発行した後、マイクロソフトは、このセキュリティ情報に記載されている修正プログラムがオブジェクトの種類の脆弱性を正しく修正していないという報告を受け取りました (CAN-2003-0532)。

Microsoft は、Web ページを提供する Web サーバーとして構成されている Windows XP システムに特に影響を与える問題 ASP.NET 特定し、Web サーバーに接続しているクライアントがサイト上のページを表示しようとしたときにエラーを受け取ります。この問題は、インターネットインフォメーションサービス (IIS) 5.1 (既定ではインストールされていません) をインストールし、.NET Framework バージョン 1.0 を使用して ASP.NET ベースの Web ページを提供するように構成されている Windows XP コンピューターにのみ影響します。他のバージョンの Windows には影響しません。 Microsoft は、セキュリティ修正プログラムによって提供される保護レベルメイン維持しながら、この問題を回避する手順を示すサポート情報記事 827641を公開しました。

Microsoft はこれらのレポートを調査し、これらの問題を修正する更新プログラムを含む新しいセキュリティ情報を発行しました。 Microsoft は、このセキュリティ情報よりも優先されるセキュリティ情報 MS03-040 をリリースしました。

これは、インターネットエクスプローラー 5.01、5.5、および 6.0 用に以前にリリースされたすべてのパッチの機能を含む累積的なパッチです。さらに、次の新しく検出された脆弱性が排除されます。

インターネットエクスプローラーのクロス doメインセキュリティモデルに関連する脆弱性。異なる doメインのウィンドウが情報を共有しないようにします。この欠陥により、マイコンピューターゾーンでスクリプトが実行される可能性があります。この欠陥を悪用するには、攻撃者は、この特定の脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトをホストし、そのサイトにアクセスするようにユーザーを誘導する必要があります。ユーザーが悪意のある Web サイトにアクセスした後、攻撃者は、インターネットエクスプローラーがブラウザーキャッシュからファイルを取得するために使用する方法を誤って使用して、悪意のあるスクリプトを実行し、そのスクリプトが別の操作で情報にアクセスする可能性がありますメイン。最悪の場合、Web サイトオペレーターがマイコンピューターゾーンのセキュリティコンテキストでユーザーのシステムに悪意のあるスクリプトコードを読み込むことができる可能性があります。さらに、この欠陥により、攻撃者はローカルシステムに既に存在していた実行可能ファイルを実行したり、コンピューター上のファイルを表示したりする可能性もあります。悪意を持って構築された URL を持つインターネットまたはイントラネットのファイルが、マイコンピューターゾーンで実行されているブラウザーキャッシュに表示される可能性があるため、この問題が存在します。
インターネットエクスプローラーが Web サーバーから返されたオブジェクトの種類を正しく判断しないために発生する脆弱性。この脆弱性を悪用した攻撃者が、ユーザーのシステム上で任意のコードを実行する可能性があります。ユーザーが攻撃者の Web サイトにアクセスした場合、攻撃者は他のユーザーの操作なしでこの脆弱性を悪用する可能性があります。攻撃者は、この脆弱性の悪用を試みる HTML ベースの電子メールを作成する可能性もあります。

このパッチは、 BR549.DLL ActiveX コントロールのキルビットも設定します。このコントロールは、インターネットエクスプローラーでサポートされなくなった Windows レポートツールのサポートを実装しました。コントロールにセキュリティの脆弱性が含まれていることが判明しました。このコントロールがインストールされているお客様を保護するために、このパッチは、このコントロールの Kill Bit を設定することで、コントロールが実行されたり、ユーザーのシステムに再導入されたりするのを防ぎます。この問題については、Microsoft サポート技術情報の記事 822925で詳しく説明します。

これらの脆弱性に加えて、インターネットエクスプローラーが HTML ファイルをレンダリングする方法が変更されました。この変更により、インターネットエクスプローラーが Web ページをレンダリングする方法の欠陥が修正され、ブラウザーまたは Outlook Express が失敗する可能性があります。インターネットエクスプローラーでは、入力型タグが正しくレンダリングされません。攻撃者の Web サイトにアクセスしたユーザーは、攻撃者がサイトを表示することによってこの脆弱性を悪用する可能性があります。さらに、攻撃者は特別な形式の HTML ベースの電子メールを作成する可能性があります。これにより、電子メールを開いたりプレビューしたりしたときに Outlook Express が失敗する可能性があります。

この修正プログラムには、Microsoft セキュリティ情報 MS03-020 で修正されたオブジェクトの種類の脆弱性 (CAN-2003-0344) の修正も含まれています。この変更により、特定の言語への攻撃を防ぐために修正の動作が修正されます。

これらの欠陥を悪用するには、攻撃者は特別な形式の HTML ベースの電子メールを作成し、ユーザーに送信する必要があります。または、攻撃者は、これらの脆弱性を悪用するように設計された Web ページを含む悪意のある Web サイトをホストする必要があります。その後、攻撃者はそのサイトにアクセスするようにユーザーを説得する必要があります。

以前のインターネットエクスプローラーセキュリティ情報 MS03-004、MS03-015、MS03-020 でリリースされた累積的な修正プログラムと同様に、この累積的な修正プログラムにより、HTML ヘルプ更新プログラムを適用していない場合、window.showHelp( ) は機能しなくなります。サポート技術情報の記事 811630 から更新された HTML ヘルプコントロールをインストールした場合でも、このパッチを適用した後も HTML ヘルプ機能を使用できます。

軽減要因:

既定では、Windows Server 2003 のインターネットエクスプローラーはセキュリティ強化構成で実行されます。インターネットエクスプローラーのこの既定の構成により、これらの攻撃がブロックされます。インターネットエクスプローラーセキュリティ強化構成が無効になっている場合、これらの脆弱性が悪用されるのを防ぐ保護が実施されます。
Web ベースの攻撃シナリオでは、攻撃者はこれらの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする必要があります。攻撃者は、HTML ベースの電子メールベクターの外部にある悪意のある Web サイトにユーザーを強制的にアクセスさせる方法はありません。その代わりに、攻撃者は通常、攻撃者のサイトに誘導するリンクをクリックして誘導する必要があります。
システムで実行されたコードは、ログオンしているユーザーの特権でのみ実行されます。

重大度の評価:

	インターネットエクスプローラー 5.01 SP3	インターネットエクスプローラー 5.5 SP2	Internet エクスプローラー 6.0 Gold	インターネットエクスプローラー 6.0 SP1	Windows Server 2003 用インターネットエクスプローラー 6.0
BR549.DLL バッファーオーバーラン	重大	重大	重大	重大	中
マイコンピューターゾーンでのブラウザーキャッシュスクリプトの実行	重要	重要	重要	重要	中
オブジェクトタグの脆弱性	重大	重大	重大	重大	中
このパッチに含まれるすべての問題の重大度の集計	重大	重大	重大	重大	中

上記の評価は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。

脆弱性識別子:

BR549.DLL バッファーオーバーラン:CAN-2003-0530
マイコンピューターゾーンでのブラウザーキャッシュスクリプトの実行:CAN-2003-0531
オブジェクトの種類の脆弱性:CAN-2003-0532

テスト済みバージョン:

インターネットエクスプローラーバージョン 5.01 Service Pack 3、Internet エクスプローラー 5.01 Service Pack 4、Internet エクスプローラー 5.5 Service Pack 2、Internet エクスプローラー 6.0、Internet エクスプローラー 6.0 Service Pack 1 がこれらの脆弱性についてテストされました。以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。 Windows オペレーティングシステムコンポーネントのライフサイクルの詳細については、以下を参照してください。

</https:>https:.

よく寄せられる質問

Microsoft がこのセキュリティ情報を改訂した理由
このセキュリティ情報を発行した後、Microsoft は、このセキュリティ情報に記載されている修正プログラムによってオブジェクトの種類の脆弱性が正しく修正されないという報告を受け取りました (CAN-2003-0532)。 Microsoft は、Web ページを提供する Web サーバーとして構成されている Windows XP システムに特に影響を与える問題 ASP.NET 特定し、Web サーバーに接続しているクライアントがサイト上のページを表示しようとしたときにエラーを受け取ります。この問題は、インターネットインフォメーションサービス (IIS) 5.1 (既定ではインストールされていません) をインストールし、.NET Framework バージョン 1.0 を使用して ASP.NET ベースの Web ページを提供するように構成されている Windows XP コンピューターにのみ影響します。他のバージョンの Windows には影響しません。 Microsoft は、セキュリティ修正プログラムによって提供される保護レベルメイン維持しながら、この問題を回避する手順を示すサポート情報記事 827641を公開しました。 Microsoft はこれらのレポートを調査し、これらの問題を修正する更新プログラムを含む新しいセキュリティ情報を発行しました。 Microsoft は、このセキュリティ情報よりも優先されるセキュリティ情報 MS03-040 をリリースしました。

このパッチによって排除される脆弱性は何ですか?
これは、インターネットエクスプローラー用に以前にリリースされたすべてのパッチの機能を組み込んだ累積的なパッチです。さらに、このパッチにより、新たに報告された次の脆弱性が排除されます。

攻撃者がユーザーのシステムで任意のコードを実行させる可能性がある脆弱性。
攻撃者がユーザーのシステムでスクリプトコードを実行させる可能性がある脆弱性。

パッチには他のセキュリティ変更が含まれていますか?
はい。このパッチは、 BR549.DLL ActiveX コントロールに Kill Bit を設定します。このコントロールは、インターネットエクスプローラーでサポートされなくなった Windows レポートツールのサポートを実装しました。コントロールにセキュリティの脆弱性が含まれていることが判明しました。このコントロールがインストールされているお客様を保護するために、このパッチは、このコントロールの Kill Bit を設定することで、コントロールが実行されたり、ユーザーのシステムに再導入されたりするのを防ぎます。この問題については、Microsoft サポート技術情報の記事822925で詳しく説明します。さらに、この修正プログラムには、Microsoft セキュリティ情報 MS03-020 で修正されたオブジェクトの種類の脆弱性 (CAN-2003-0344) の修正プログラムも含まれています。この変更により、特定の言語への攻撃を防ぐために修正の動作が修正されます。

Windows Server 2003 でインターネットエクスプローラーを実行しています。これにより、これらの脆弱性は軽減されますか?
はい。既定では、Windows Server 2003 のインターネットエクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。

インターネットエクスプローラーセキュリティ強化構成とは
インターネットエクスプローラーセキュリティ強化構成は、構成済みのインターネットエクスプローラー設定のグループであり、ユーザーまたは管理者がサーバー上で悪意のある Web コンテンツをダウンロードして実行する可能性を低減します。インターネットエクスプローラーセキュリティ強化の構成では、インターネットオプションの [セキュリティ] タブと [詳細設定] タブの設定など、セキュリティ関連のさまざまな設定を変更することで、このリスクが軽減されます。主な変更の一部は次のとおりです。

インターネットゾーンのセキュリティレベルが [高] に設定されています。この設定により、スクリプト、ActiveX コントロール、Microsoft 仮想マシン (Microsoft VM)、HTML コンテンツ、およびファイルのダウンロードが無効になります。
イントラネットサイトの自動検出が無効になっています。この設定により、ローカルイントラネットゾーンに明示的にリストされていないすべてのイントラネット Web サイトとすべての汎用名前付け規則 (UNC) パスがインターネットゾーンに割り当てられます。
オンデマンドインストールと Microsoft 以外のブラウザー拡張機能は無効になっています。この設定により、Web ページでコンポーネントが自動的にインストールされなくなり、Microsoft 以外の拡張機能が実行されなくなります。
マルチメディアコンテンツが無効になっています。この設定により、音楽、アニメーション、ビデオクリップが実行されなくなります。

インターネットエクスプローラーセキュリティ強化構成を無効にすると、この脆弱性が悪用されるのを防ぐのに役立つ保護が削除されます。インターネットエクスプローラーセキュリティ強化構成の詳細については、「インターネットエクスプローラーセキュリティ強化構成の管理」ガイドを参照してください。これを行うには、次の Microsoft Web サイトを参照してください。

https://www.microsoft.com/download/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&D isplayLang;=en

インターネットエクスプローラーセキュリティ強化構成が無効になっている可能性が高い Windows Server 2003 の構成はありますか?
はい。 Windows Server 2003 をターミナルサーバーとして展開したシステム管理は、インターネットエクスプローラーセキュリティ強化構成を無効にして、ターミナルサーバーのユーザーが無制限モードでインターネットエクスプローラーを使用できるようにする可能性があります。

CAN-2003-0531: マイコンピューターゾーンでのブラウザーキャッシュスクリプトの実行

この脆弱性の範囲は何ですか?
インターネットエクスプローラーの欠陥により、悪意のある Web サイトオペレーターが、ブラウザーキャッシュにファイルが存在するためにブラウザーがチェックしたときに特別に細工されたコードを挿入することによって、別のインターネット doメインまたはユーザーのローカルシステム上の情報にアクセスする可能性があります。最悪の場合、Web サイトオペレーターがマイコンピューターゾーンのセキュリティコンテキストでユーザーのシステムに悪意のあるスクリプトコードを読み込むことができる可能性があります。さらに、この欠陥により、攻撃者はローカルシステムに既に存在する実行可能ファイルを実行したり、コンピューター上のファイルを表示したりする可能性もあります。ただし、攻撃者は実行可能ファイルにパラメーターを渡すことができません。

この脆弱性の原因は何ですか?
この脆弱性は、ブラウザーがブラウザーキャッシュにローカルファイルが存在することをチェックして、インターネットエクスプローラーが実装するクロス doメインセキュリティモデルをバイパスする可能性があるために発生します。

"インターネットエクスプローラーのクロス doメインセキュリティモデル" とは何ですか?
ブラウザーの主なセキュリティ機能の 1 つは、異なる Web サイトの制御下にあるブラウザーウィンドウが互いに干渉したり、互いのデータにアクセスしたりできないようにし、同じサイトのウィンドウが相互に対話できるようにすることです。協調ブラウザーウィンドウと非協力ブラウザーウィンドウを区別するために、"doメイン" という概念が作成されました。 doメインはセキュリティ境界です。同じ do 内で開いているウィンドウはメイン互いにやり取りできますが、異なる doメインのウィンドウは相互に対話できません。 "クロス doメインセキュリティモデル" は、ウィンドウが異なる doメインが相互に干渉しないようにするセキュリティアーキテクチャの一部です。 doメインの最も簡単な例は、Web サイトに関連付けられています。 www.microsoft.com にアクセスし、www.microsoft.com/security するウィンドウが開いた場合、両方が同じ doメイン、www.microsoft.com に属しているため、2 つのウィンドウはそれぞれを操作できます。ただし、www.microsoft.com にアクセスし、別の Web サイトへのウィンドウを開いた場合、クロス doメインセキュリティモデルは 2 つのウィンドウを互いに保護します。概念はさらに進む。たとえば、ローカルコンピューター上のファイルシステムも doメインです。そのため、たとえば、 www.microsoft.com ウィンドウを開き、ハードディスク上のファイルを表示できます。ただし、ローカルファイルシステムは Web サイトとは異なる doメインにあるため、クロス doメインセキュリティモデルでは、Web サイトが表示されているファイルを読み取らないようにする必要があります。インターネットエクスプローラーセキュリティポリシーは、インターネットエクスプローラーのインターネットセキュリティゾーン設定を使用するか、グループポリシーを使用して構成できます。

インターネットエクスプローラーセキュリティゾーンとは
インターネットエクスプローラーセキュリティゾーンは、信頼性に基づいて、オンラインコンテンツをカテゴリまたはゾーンに分割するシステムです。特定の Web doメインは、各 do のコンテンツにどの程度の信頼が設定されているかに応じて、ゾーンに割り当てることができますメイン。その後、ゾーンは、ゾーンのポリシーに基づいて Web コンテンツの機能を制限します。既定では、ほとんどのインターネット doメインはインターネットゾーンの一部として扱われます。このゾーンには、スクリプトやその他のアクティブなコードがローカルシステム上のリソースにアクセスできないようにする既定のポリシーがあります。既定では、ローカルコンピューターに格納されているファイルはローカルコンピューターゾーンで実行されます。

インターネットエクスプローラーがクロス doメインセキュリティを計算する方法に何が問題がありますか?
インターネットエクスプローラーは、ある Web ページが別のセキュリティゾーン内のリソースへのアクセスを要求したときにセキュリティを評価します。ブラウザーキャッシュにローカルファイルが存在することをチェックするときにメインインターネットが元の操作をエクスプローラーチェックする方法に欠陥があります。

この脆弱性により、攻撃者は何を実行できるでしょうか。
攻撃者は、この脆弱性を使用して Web ページを作成し、攻撃者が doメインs をまたいでデータにアクセスできるようにする可能性があります。これには、攻撃者が完全なパスとファイル名を知っていれば、ユーザーまたはオペレーティングシステムが使用していないローカルシステムファイルの読み取りが含まれる可能性があります。また、ユーザーが別の Web サイトと共有することを選択したデータへのアクセスも含まれます。攻撃者は、パラメーターを指定せずに、ユーザーのローカルファイルシステムで実行可能ファイルを実行することもできます。

攻撃者がこの脆弱性を悪用する方法
攻撃者は、悪意のある Web ページを作成し、ユーザーにこのページへのアクセスを誘導することで、この脆弱性を悪用しようとする可能性があります。ユーザーがページにアクセスすると、攻撃者はマイコンピューターゾーンのセキュリティコンテキストでスクリプトを実行する可能性があります。攻撃者は、ユーザーが表示したときに、ユーザーのローカルシステムに既に存在する実行可能ファイルを実行する Web ページを作成することもできます。ただし、攻撃者は実行可能ファイルにパラメーターを渡すことができません。

パッチは何をしますか?
この修正プログラムは、ローカルキャッシュにファイルが存在するかどうかを確認チェック、インターネットエクスプローラーがファイル名の要求を適切に検証することを確認することで、この脆弱性を修正します。

CAN-2003-0532: オブジェクトタグの脆弱性

この脆弱性の範囲は何ですか?
インターネットエクスプローラーが特定の HTTP 要求を処理する方法に欠陥があると、ユーザーが攻撃者の制御下にあるサイトにアクセスした場合に、ログオンしているユーザーのコンテキストで任意のコードを実行できる可能性があります。

この脆弱性の原因は何ですか?
インターネットエクスプローラーが、Web ページでオブジェクトタグを処理するときに発生する可能性がある特別に細工された HTTP 応答エクスプローラーを正しくチェックしないため、この脆弱性が発生します。

インターネットエクスプローラーがオブジェクトタグを処理する方法の問題
インターネットエクスプローラーがオブジェクトの種類を決定する方法に欠陥があります。インターネットエクスプローラーは、HTTP 応答に対して適切なパラメーターチェックを実行しません。応答は、特定のファイルの種類を指し示すことができます。これにより、オブジェクトがスクリプト化され、実行されます。これにより、攻撃者がユーザーのコンピューターで任意のコードを実行する可能性があります。

この脆弱性により、攻撃者は何を実行できるでしょうか。
この脆弱性により、攻撃者はインターネットエクスプローラーが攻撃者の選択したコードを実行する可能性があります。これにより、攻撃者は現在ログオンしているユーザーのセキュリティコンテキストでユーザーのシステムに対して何らかのアクションを実行できます。

攻撃者がこの脆弱性を悪用する方法
攻撃者は、特別に構築された Web ページをホストすることで、この脆弱性を悪用しようとする可能性があります。ユーザーがこの Web ページにアクセスすると、インターネットエクスプローラーが失敗し、ユーザーのコンテキストで任意のコードを実行できる可能性があります。または、攻撃者がこの脆弱性を悪用しようとする HTML ベースの電子メールを作成する可能性もあります。

パッチは何をしますか?
この修正プログラムは、インターネットエクスプローラーが HTTP 応答を受信したときに適切なチェックを実行することで、この脆弱性を解決します

回避策

修正プログラムが再リリースされるまで、この脆弱性の悪用をブロックするために使用できる回避策はありますか?
はい。これらの回避策は、基になる脆弱性を修正するのではなく、攻撃のパスをブロックするのに役立つため、一時的な対策と見なす必要があります。 Microsoft では、利用可能になったら、できるだけ早い機会に修正プログラムをインストールすることをお勧めします。次のセクションは、コンピューターを攻撃から保護するための情報を提供することを目的としています。

インターネットゾーンとイントラネットゾーンで ActiveX コントロールを実行する前にプロンプトを表示する: ActiveX コンポーネントを実行する前に、インターネットセキュリティゾーンの設定を変更して、この脆弱性から保護することができます。この操作を行うには、次の手順に従います。

インターネットエクスプローラーで、[ツール]、[インターネットオプション] の順に選択します。
[セキュリティ] タブをクリックします
[インターネット] アイコンを強調表示し、[カスタムレベル] ボタンをクリックします
一覧をスクロールして、[ Active X コントロールとプラグイン ] セクションに移動します。
[ActiveX コントロールとプラグインの実行] で [プロンプト] をクリックします
[OK]
[ローカルイントラネット] アイコンを強調表示し、[カスタムレベル] ボタンをクリックします
一覧をスクロールして、[ Active X コントロールとプラグイン ] セクションに移動します。
[ActiveX コントロールとプラグインの実行] で [プロンプト] をクリックします
[OK] をクリックし、もう一度 [OK] をクリックしてインターネットエクスプローラーに戻ります

Web サイトを信頼済み Web サイトのみに制限する

インターネットおよびイントラネットゾーンで ActiveX を実行する前にプロンプトを要求した後、信頼できるサイトをインターネットエクスプローラーの信頼済みサイトに追加できます。これにより、信頼されていないサイトに対するこの攻撃から保護しながら、信頼された Web サイトを現在とまったく同じように引き続き使用できます。

この操作を行うには、次の手順に従います。

インターネットエクスプローラーで、[ツール]、[インターネットオプション] の順に選択します。 [セキュリティ] タブをクリックします。
[Web コンテンツゾーンを選択して現在のセキュリティ設定を指定する] というラベルのボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします。
暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
[この Web サイトをゾーンに追加する] というラベルのボックスに、信頼できるサイトの URL を入力し、[追加] ボタンをクリックします。ゾーンに追加するサイトごとに、この手順を繰り返します。
[OK] を 2 回クリックして変更を受け入れ、インターネットエクスプローラーに戻ります。コンピューターで悪意のあるアクションを実行しないように信頼できるサイトを追加します。特に追加したいのは https://windowsupdate.microsoft.com. これはパッチをホストするサイトであり、パッチをインストールするには ActiveX コントロールを使用する必要があります。

ActiveX コンポーネントを実行する前にプロンプトを表示する副作用はありますか?
はい。インターネット上の多くの Web サイトでは、ActiveX を使用して追加機能を提供しています。たとえば、オンラインの e コマースサイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、さらには口座明細書を提供できます。 ActiveX コントロールを実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネットサイトのグローバル設定です。この回避策を有効にすると、頻繁にメッセージが表示されます。各プロンプトで、アクセスしているサイトが信頼できる場合は、[はい] をクリックして ActiveX コンポーネントを実行します。これらのサイトすべてに対してプロンプトを表示しない場合は、代わりに「信頼できる Web サイトのみに Web サイトを制限する」回避策を使用できます。

パッチの可用性

このパッチのダウンロード場所

このパッチに関する追加情報

インストールプラットフォーム:

このパッチは、次を実行しているシステムにインストールできます。

Service Pack 3 または Service Pack 4 がインストールされている Windows 2000 システムで実行されているインターネットエクスプローラー 5.01。
インターネットエクスプローラー 5.5 パッチは、インターネットエクスプローラー 5.5 Service Pack 2 を実行しているシステムにインストールできます。
Internet エクスプローラー 6.0 パッチは、IE 6.0 Gold または Internet エクスプローラー 6.0 Service Pack 1 を実行しているシステムにインストールできます。

今後のサービスパックに含める:

これらの問題の修正プログラムは、Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 に含まれます

再起動が必要: はい - 再起動後、次の場合に管理者ログオンが必要です。

Microsoft Windows 2000 および Microsoft Windows NT 4.0 のインターネットエクスプローラー 5.01
Microsoft Windows 2000 のインターネットエクスプローラー 5.5

修正プログラムをアンインストールできます: はい

置き換えられる修正プログラム: このパッチは、Microsoft セキュリティ情報 MS03-020 で提供されたものより優先されます。これはそれ自体が累積的なパッチです。

修正プログラムのインストールの確認:

コンピューターに修正プログラムがインストールされていることを確認するには、IE を開き、[ヘルプ] を選択し、[インターネットエクスプローラーについて] を選択し、[更新プログラムのバージョン] フィールドにQ822925が表示されていることを確認します。

Windows Server 2003 または Windows XP 64 ビットエディションバージョン 2003 では、この方法を使用できません。これらのオペレーティングシステムの [更新プログラムのバージョン] フィールドはパッケージによって更新されないためです。
個々のファイルを確認するには、サポート技術情報の記事 822925で提供されているパッチマニフェストを使用します。

注意事項:

サポート技術情報の記事 811630 から更新された HTML ヘルプコントロールをインストールしていない場合は、この更新プログラムを適用した後、一部の HTML ヘルプ機能を使用できません。その機能を復元するには、更新された HTML ヘルプコントロール (811630) をダウンロードする必要があります。また、最新バージョンの HTML ヘルプがインストールされている場合、showHelp メソッドを使用してヘルプファイルを開くと、次の制限が発生します。

サポートされているプロトコルのみを showHelp と共に使用して、Web ページまたはヘルプ (.chm) ファイルを開くことができます。
HTML ヘルプでサポートされているショートカット関数は、ヘルプファイルを showHelp で開くと無効になります。ヘルプファイルをダブルクリックするか、HTMLHELP( ) API を使用してローカルシステム上のアプリケーションを使用して、同じ CHM ファイルをユーザーが手動で開いた場合、ショートカット機能には影響しません。

ローカライズ:

このパッチのローカライズされたバージョンは、「パッチの可用性」で説明されている場所で入手できます。

その他のセキュリティパッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

セキュリティパッチは Microsoft ダウンロードセンターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
コンシューマープラットフォームのパッチは、Windows Update Web サイトから入手できます

その他の情報:

受信確認

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

MS03-020 オブジェクトの種類の脆弱性 (CAN-2003-0344 ) の言語固有のバリアントと、マイコンピューターゾーンでのブラウザーキャッシュスクリプトの実行に関する問題を報告する LAC の新井雄
オブジェクトの種類の脆弱性を報告するための eEye Digital Security 。
BR549.DLL バッファーオーバーランの問題を報告するための KPMG UK の Greg Jones。

サポート:

マイクロソフトサポート技術情報の記事 822925、この問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります。
テクニカルサポートは、Microsoft 製品サポートサービスから入手できます。セキュリティパッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティリソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

V1.0 (2003 年 8 月 20 日): セキュリティ情報が作成されました。
V1.1 (2003 年 8 月 25 日): Windows XP パッチ ASP.NET 関連する問題に関する情報を追加しました。
V1.2 (2003 年 8 月 28 日): [追加情報] セクションで再起動情報の詳細を追加しました。
V1.3 (2003 年 9 月 8 日): 提供されたパッチによってオブジェクトの種類の脆弱性が正しく修正されないレポートに関する情報が追加されました (CAN-2003-0532)
V1.4 (2003 年 10 月 3 日): MS03-040 のスーパーセンスのリリースに関する情報を含むように更新されました。

2014-04-18T13:49:36Z-07:00</https にビルド:>