悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2004年07月13日(火) 15時56分

「Outlook+メールの編集にWord+HTMLメールの転送」で脆弱性ITmediaエンタープライズ

 マイクロソフトのメーラーOutlookで、電子メールの編集にWordを利用している場合に、悪意あるHTML形式のメールを転送しようとすると任意のコードを実行される恐れのある脆弱性が報告されている。

 この問題についてアドバイザリを出したSecuniaの情報によると、問題が発生するのはOutlook 2000/2003で、メールの編集にWord 2000もしくは2003を利用している場合だ。Outlook自身が備えるエディタを用いている場合は影響を受けない。

 この脆弱性は、上記の条件下で、Objectタグを閉じないという細工を施したHTML形式のメール(あるいはHTML形式のドキュメント)を「転送」しようとした際に発生する。転送を行おうとすると、Outlookのセキュリティゾーン設定を無視して、タグが指し示したリモートのWebサイトから勝手にActiveXコントロールのダウンロード/実行が行われる恐れがある。同じ条件でも、「返信」する際にはこの問題は発生しない。

 問題を解決する修正プログラムは存在しない。セキュリティ関連メーリングリストでこの問題を指摘した人物によれば、Microsoftではこの問題をWebバグの一種と捉えているという。同社はまた、転送/返信時のOutlookの挙動を変更することを決定すれば、今後リリースされるOfficeで変更を加えると回答したという。

 脆弱性が悪用される条件は限定されているが、既にこの脆弱性を悪用したスパムメールが流通し始めている。特に、知り合いからのメールやうまい話を装って転送を促す、ソーシャルエンジニアリング的な手法には注意が必要だ。

 対策としては、HTML形式のメールはやり取りしない(少なくともObjectタグを含むものはフィルタリングする)、スパムメールをブロックするといったメールサーバ側での対処に加え、エンドユーザー側では「ツール」-「オプション」の「メール形式」タブを確認し、メールの編集にWordを利用する、という設定のチェックを外し、Outlookが備える編集機能を利用することが挙げられる。

http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ)

http://headlines.yahoo.co.jp/hl?a=20040713-00000010-zdn_ep-sci