HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性関連情報取扱い:脆弱性関連情報の調査結果

本文を印刷する

情報セキュリティ

脆弱性関連情報取扱い:脆弱性関連情報の調査結果

独立行政法人 情報処理推進機構
セキュリティセンター

本資料は、JVNで公表した「JVN#95019167:『Internet Explorer』における MHTML によるダウンロードのダイアログボックス回避の脆弱性」について解説するものです。

概要

「Internet Explorer」には、Outlook Express のコンポーネントを利用してMHTML (MIME Encapsulation of Aggregate HTML) でウェブページにアクセスする機能があります。

「Internet Explorer」には、MHTML でウェブページにアクセスした際に、ダウンロードのダイアログボックスを回避可能な問題が存在します。

「Internet Explorer」における MHTML によるダウンロードのダイアログボックス回避の脆弱性

影響

ダウンロードのダイアログボックスが表示されないため、例えば閲覧したファイルが HTML ファイルである場合、意図せず任意のスクリプトを実行される可能性があります。

対策

この問題は 「Internet Explorer」本体ではなく、Outlook Express のコンポーネントに原因があるため、Outlook Express を最新バージョンにアップデートしてください。
対策方法等の最新情報は、JVN#95019167 を参照してください。

本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度 ■ I(注意) □ II(警告) □ III(危険)
本脆弱性のCVSS基本値 2.6    

(2)CVSS基本値の評価内容

AV:攻撃元区分 □ ローカル □ 隣接 ■ ネットワーク
AC:攻撃条件の複雑さ ■ 高  □ 中  □ 低 
Au:攻撃前の認証要否 □ 複数 □ 単一 ■ 不要
C:機密性への影響
(情報漏えいの可能性)
■ なし □ 部分的 □ 全面的
I:完全性への影響
(情報改ざんの可能性)
□ なし ■ 部分的 □ 全面的
A:可用性への影響
(業務停止の可能性)
■ なし □ 部分的 □ 全面的

注)■:選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

(3)注意事項

 深刻度が低くても、対策をしなくてよいということではありません。本ソフトウェアの利用者は必ず脆弱性対策を実施して下さい。

更新履歴

2007年8月20日 脆弱性の深刻度評価をCVSS v2へ移行
2007年6月18日 掲載