Office XP SP-1は、Outlook 2002でHTMLが閲覧されるのを防止する機能を含む
概要:
マイクロソフト社のOffice XPに対するサービスパック1(SP-1)は、Microsoft OutlookのHTMLのタグ、及び JavaScriptやVisual Basic Scriptなどのスクリプト言語の解釈機能を利用する悪意のあるコード防止をする修正を含んでいる。
国際
海外情報
マイクロソフト社のOffice XPに対するサービスパック1(SP-1)は、Microsoft OutlookのHTMLのタグ、及び JavaScriptやVisual Basic Scriptなどのスクリプト言語の解釈機能を利用する悪意のあるコード防止をする修正を含んでいる。
Knowledge Base(KB)のオンライン記事Q307594(http://support.microsoft.com/default.aspx?scid=kb;en-us;Q307594 参照)によると、SP-1に追加されたOutlook 2002の新機能を利用して、ユーザーはメールの設定を変更し、非デジタル方式で署名されたメールや、暗号化されていない全てのメールを、テキスト形式で読むことができる。(ID# 106601, Dec. 17, 2001)
2001年12月13日にリリースされたSP-1は、Russ Cooper氏がNoHTML という無料ツールを提供したのと、ほぼ同じ時期に発表されている。NoHTMLツールは、基本的にSP-1に搭載されたアップデートの機能を同じもの。Cooper氏のアプリケーションは、コンポーネントオブジェクトモデルのアドインで、ユーザーがHTML形式のメールをOutlookで開くと同時に起動される。Outlook 2000では、HTMLメッセージがRTF形式のファイルに変換され、Outlook 2002では標準テキストファイルに変換される(ID# 106433, Dec. 5, 2001)。上記2つツールの主な違いは、Cooper氏のツールはプレビューウィンドウでHTMLを排除することはできないのに対し、SP-1はプレビューウィンドウからも HTMLを排除できる点である。
情報ソース:
Microsoft Corp. (KB Article Q307594, ), Dec. 12, 2001
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q307594
NTBugtraq (Russ Cooper, Russ.Cooper@rc.on.ca), Dec. 17, 2001
分析:
(iDEFENSE 米国) このアップデートがリリースされたことで、クライアント側でスクリプティングを必要とするワーム・ウイルスや、拡散においてHTMLの解釈問題を利用するワーム・ウイルスを防ぐことができる。
暫定処置:
Microsoft Outlookでクライアント側のスクリプティングをオフにするには、次のように設定を変更する。(翻訳者注釈: Outlookでのスクリプト解除手順は英語版と日本語版で違うため、ここでは具体的手順は翻訳せず、原文のまま残しておりますのでご了承願います)
1. From the Tools drop-down menu, select Options
2. Select the Security tab
3. Select Zone Settings and OK when prompted
4. Highlight the Internet zone and click the Custom Level button
5. Scroll down in the list to the Scripting heading and choose Disable for the Active scripting subheading.
6. Confirm the selection by clicking the OK button twice.
ベンダー情報:
SP-1に関する情報は
http://office.microsoft.com/downloads/2002/oxpsp1.aspx
からダウンロード可能。
(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【16:14 GMT、12、21、2001】
《ScanNetSecurity》
