Outlookで受信するメールから HTMLタグを削除する新ツール
概要:
ラス・クーパー氏は、マクロソフト社の Outlookで受信するメールから、HTMLタグ及びスクリプトを取り除く NoHTMLというツールを無料で提供する。 Outlookは HTMLタグ、及び JavaScriptや Visual Basic Scriptなどのスクリプト言語を解釈する能力を保有するが、
国際
海外情報
ラス・クーパー氏は、マクロソフト社の Outlookで受信するメールから、HTMLタグ及びスクリプトを取り除く NoHTMLというツールを無料で提供する。 Outlookは HTMLタグ、及び JavaScriptや Visual Basic Scriptなどのスクリプト言語を解釈する能力を保有するが、本ツールは、これを悪用するワーム・ウィルスなどを防止する効果がある。NoHTMLはコンポーネント追加型のツール、つまりユーザーが HMTL形式のメールを開くたびに、自動的に稼動するものである。このツールを使うと、Outlook 2000では HTMLメールが RTFファイルに、Outlook 2002では HTMLメールが普通のテキストファイルに変換される。
情報ソース:
NTBugtraq Dec. 04, 2001
http://www.ntbugtraq.com/default.asp?pid=55&did=38
iDEFENSE 研究所, Dec. 04, 2001
分析:
この無料ツールは、クライアント側でのスクリプティング、または HTML側の解釈方法の問題を利用するワームやウィルスの感染を防止する効果がある。過去1年間に発生した深刻なワームやウィルスのほとんどは、この種類のものである。例えば Nimdaは、メール本文の HTMLスクリプトが添付ファイルを実行してしまうという、MIME 脆弱性を利用したウィルスであった (2001年9月20日 ID#105610)。ただし、残念ながら、受信するHTMLメールの種類によっては、RTFやテキストファイルに変換されると読みにくいメールもあり、場合によっては本文がブランクとなってしまう可能性もある。
暫定処置:
クライアント側のスクリプティングは、Explorerにおける下記設定によって解除できる:
1.「ツール」メニューから「インターネットオプション」を選択
2.「セキュリティ」のタブを選択
3.Webコンテンツのゾーンを「インターネット」に設定した上、「レベルのカスタマイズ」ボタンをクリック
4.スクロールダウンし、「アクティブスクリプト」を「無効にする」に設定
5.「OK」を2回クリックする
(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【17:24 GMT、12、05、2001】
《ScanNetSecurity》
