次の方法で共有

セキュリティ情報

Microsoft セキュリティ情報 MS98-020 - 重大

"フレーム スプーフィング" の脆弱性に対して利用可能な修正プログラム

公開日: 1998 年 12 月 23 日 |更新日: 2003 年 5 月 16 日

バージョン: 2.0

投稿日: 1998年12月23日

更新日: 2003 年 5 月 16 日

まとめ

Microsoft は、悪意のある Web サイト オペレーターが正当な Web サイト上のウィンドウを偽装する可能性がある Microsoft® インターネット エクスプローラー®の脆弱性を修正する修正プログラムをリリースしました。 この脆弱性の脅威は、偽のウィンドウがユーザーから情報を収集し、悪意のあるサイトに送り返す可能性があるということです。

この脆弱性に対して完全にサポートされている修正プログラムが利用可能であり、すべてのユーザーがコンピューターを保護するためにダウンロードしてインストールすることをお勧めします。

問題点

この脆弱性は、インターネット エクスプローラーのクロス doメイン 保護がフレームのナビゲーションにまで及ばないために存在します。 これにより、悪意のある Web サイトが別の Web サイトのウィンドウ内のフレームにコンテンツを挿入する可能性があります。 適切に実行された場合、ユーザーはフレームを認識できない可能性があります。

コンテンツは正当なサイトからではなく、悪意のあるサイトに個人データを提供するようにだまされる可能性があります。 セキュリティで保護されていない (HTTP) サイトとセキュリティで保護された (HTTPS) サイトも、この脆弱性の危険にさらされます。

これらの問題の影響を受けているお客様の報告はありませんが、Microsoft は、この問題によって生じるリスクに対処するためのパッチをリリースしています。

影響を受けるソフトウェアのバージョン

  • Microsoft Internet エクスプローラー バージョン 3.X、4.0、4.01、4.01 サービス
  • Windows 95 用パック 1
  • Microsoft Internet エクスプローラー バージョン 4.01 Service Pack 1 for Windows 98
  • Microsoft Internet エクスプローラー バージョン 3.X、4.0、4.01、4.01 サービス
  • Windows NT 4.0 用パック 1
  • Microsoft Internet エクスプローラー バージョン 3.X、4.0、4.01 for Windows 3.1
  • Windows NT 3.51 用 Microsoft Internet エクスプローラー バージョン 3.X、4.0、4.01
  • Microsoft Internet エクスプローラー バージョン 3.X、4.X for Macintosh
  • HPUX 上の UNIX 用 Microsoft Internet エクスプローラー バージョン 4
  • Microsoft Internet エクスプローラー version 4 for UNIX on Sun Solaris
  • インターネット エクスプローラーのその他の製品またはバージョンに影響はありません

脆弱性識別子:CVE-1999-0869

Microsoft が行っていること

Microsoft は、特定された問題を修正する修正プログラムをリリースしました。 このパッチは、以下の「お客様が行うべきこと」に記載されているサイトからダウンロードできます。

Microsoft は、Microsoft 製品セキュリティ通知サービスをサブスクライブしているお客様にこのセキュリティ情報を送信しました。 この無料カスタマー サービスの詳細については 、Microsoft 製品セキュリティ通知サービス を参照してください。

Microsoft では、この問題に関する次のサポート技術情報 (KB (キロバイト)) の記事を公開しています。

  • Microsoft サポート技術情報 (KB (キロバイト)) の記事 167614、"フレーム スプーフィング" セキュリティの問題で利用可能な更新プログラム、https:

    (更新されたKB (キロバイト)の記事が Web ベースのナレッジ ベースに表示されるまで、このセキュリティ情報の最初の投稿から 24 時間かかる場合があります)。

お客様が行うべきこと

Microsoft では、影響を受けるすべてのお客様が更新プログラムをダウンロードしてコンピューターを保護することを強くお勧めします。 影響を受ける各ソフトウェア バージョンの完全な URL を以下に示します。

注: "フレーム スプーフィング" の脆弱性の修正プログラムには、信頼されていないスクリプト貼り付けおよび "クロス フレーム 移動" の脆弱性に対して、以前にリリースされた 2 つのパッチも含まれています。 これら 2 つのパッチをまだダウンロードしてインストールしていないお客様は、"フレーム スプーフィング" 脆弱性のパッチをダウンロードして適用するだけで済みます。 いずれかのパッチまたは両方のパッチを適用したお客様は、3 つの脆弱性すべてに対する最新の保護を確実に行うために、"フレーム スプーフィング" 脆弱性のパッチを適用する必要があります。

Windows 98

Windows 98 のお客様は、Windows Update を使用して更新されたパッチを入手できます。 Windows Update を使用してこのパッチを入手するには、Windows スタート メニューから Windows Update を起動し、[製品の更新] をクリックします。メッセージが表示されたら、[はい] を選択して、Windows Update でこの更新プログラムとその他の更新プログラムがコンピューターに必要かどうかを判断できるようにします。 コンピューターにこの修正プログラムが必要な場合は、ページの [重大な更新] セクションの下に表示されます。

インターネット エクスプローラー 3.X および 4.0

インターネット エクスプローラー 3.X および 4.0 のユーザーは、まず、Service Pack 1 を使用してインターネット エクスプローラー 4.01 にアップグレードする必要があります。これは /https:https:> で<入手できます。 アップグレードをインストールした後、以下で説明するようにインターネット エクスプローラー 4.01 パッチを適用します。

インターネット エクスプローラー 4.01

インターネット エクスプローラー 4.01 (Service Pack 1 の有無にかかわらず) を使用しているお客様は、Internet エクスプローラー Security Web サイト (</https:>https:) からパッチを入手できます。 Macintosh、HPUX、Solaris のバージョンのパッチは若干遅延します。 使用できる場合は、/https:https:> に<通知が投稿されます。

その他の情報

この問題に関連する詳細については、次のリファレンスを参照してください。

  • Microsoft セキュリティ情報 98-020、"フレーム スプーフィング" の脆弱性 (このセキュリティ情報の Web に投稿されたバージョン) https://www.microsoft.com/technet/security/bulletin/ms98-020.mspxで利用可能な修正プログラム。
  • Microsoft サポート技術情報 (KB (キロバイト)) の記事 167614、"フレーム スプーフィング" セキュリティの問題に対して利用可能な更新プログラム、</https:>https:

受信確認

Microsoft は、フレーム スプーフィングの脆弱性を発見した SecureXpert Labs のリチャード・ライナー博士と、信頼されていないスクリプト貼り付け問題のバリエーションに関する彼の継続的な支援と入力をスペインのフアン・カルロス・ガルシア・クアルタンゴ氏に認めたいと思います。

この問題に関するサポートの取得

これはサポートされているパッチです。 このパッチのインストールに問題がある場合、またはこのパッチに関するテクニカル サポートが必要な場合は、Microsoft テクニカル サポートにお問い合わせください。 Microsoft テクニカル サポートへの問い合わせについては、/https:https:>を参照<してください。

リビジョン

  • 1998 年 12 月 23 日: セキュリティ情報の作成
  • V2.0 (2003 年 5 月 16 日): バージョン管理と更新されたパッチの可用性情報が導入されました。

Microsoft 製品に関するその他のセキュリティ関連の情報については、以下を参照してください。 https://www.microsoft.com/technet/security

MICROSOFT KNOWLEDGE BA Standard Edition で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 MICROSOFT は、特定の PURPO に対する商品性と適合性の保証を含め、明示または黙示を問わず、一切の保証を行いませんStandard Edition。 MICROSOFT 法人またはそのサプライヤーは、直接、間接、付随的、Standard Edition 付随的、事業利益の損失、特別損害を含むいかなる損害に対しても一切の責任を負いません。MICROSOFT 企業またはそのサプライヤーが、そのような損害の可能性についてB Enterprise Edition N ADVI Standard Editionした場合でも、一切の責任を負いません。 一部の州では、上記の制限が適用されない可能性があるためStandard Edition付随的損害に対する責任の除外または制限を認めていません。

2014-04-18T13:49:36Z-07:00</https にビルド:>