2004年09月30日
WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様
日経BPによると、Windows XPに「勝手にパスワード情報を送信する危険性」がOffice 2000/XP/2003がインストールされている場合に限りあるそうだが、Microsoftいわく「これはバグではなく,基本的には仕様」とのこと。ソースRinRin王国さん
ファイル共有を有効にしたWindows ServerのIISサーバー(Webサーバー)へOffice 2000/XP/2003がインストールされているWindowsXPからInternet Explorerを使って公開されているWordファイルを直接開く時に、Windows XPのPCはNTLM認証をしようとして,アクセスしたPCからハッシュ化(暗号化)されたパスワード情報をIISサーバーに送信するそうだ。
日経BPによると
FireFoxやOpreaに乗り換えるのが、手っ取り早い対策かも。
関連記事
●WindowsXP SP2以外のOSで使うIEには最新のセキュリティー対策を提供しないMicrosoft[2004/9/28]
関連するかもしれないリンク
●Windows XP SP2 を適用すると Web ページで文字化けが発生する
●Windows XP SP2 をインストール後、エラー メッセージ "Stop: c0000135" および "winsrv was not found" が表示される
●Windows XP で画面の解像度を変更すると [画面のプロパティ] ウィンドウが表示されなくなる
ファイル共有を有効にしたWindows ServerのIISサーバー(Webサーバー)へOffice 2000/XP/2003がインストールされているWindowsXPからInternet Explorerを使って公開されているWordファイルを直接開く時に、Windows XPのPCはNTLM認証をしようとして,アクセスしたPCからハッシュ化(暗号化)されたパスワード情報をIISサーバーに送信するそうだ。
日経BPによると
この危険性に関して,マイクロソフトのセキュリティ・レスポンス・チームに確認したところ,これはバグではなく,基本的には仕様なのだという。セキュリティフライデー関氏の「悪意のあるユーザーの立てたサーバーにNTLM認証を試みた場合,パスワードのハッシュは数分で解読されることがある」という指摘もあるらしいが、今回のWordファイル関連以外にもISSサーバーで公開されているサイトにある「<img src=file://\\www.xxx.yyy\test>」というイメージ・タグを含むHTMLファイルをブラウズした場合にも、閲覧者のPCからサーバーに対してパスワード情報を送信してしまう「仕様」もあるそうで,どちらも修正パッチはまだMicrosoftからは提供されていないそうだ。
マイクロソフトの同チームは「Windows XPとWordに,このような仕様があることは確認している。ユーザーの意思に関係なく,外部のサイトにUNC(汎用名前付け規則)で接続しようとするのは,セキュリティ上好ましくないとも考えている。現時点でソフトウエアの修正は予定されていないが,今後の状況によっては修正もありえる」と語っている。
FireFoxやOpreaに乗り換えるのが、手っ取り早い対策かも。
関連記事
●WindowsXP SP2以外のOSで使うIEには最新のセキュリティー対策を提供しないMicrosoft[2004/9/28]
関連するかもしれないリンク
●Windows XP SP2 を適用すると Web ページで文字化けが発生する
●Windows XP SP2 をインストール後、エラー メッセージ "Stop: c0000135" および "winsrv was not found" が表示される
●Windows XP で画面の解像度を変更すると [画面のプロパティ] ウィンドウが表示されなくなる
この記事はPCパーツ[2004] カテゴリーに含まれています | Edit
この記事へのトラックバック
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
★Windows XPに「勝手にパスワード情報を送信する危険性」 が見つかる(ITPro) ★WindowsXP + IE + Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様(アキバblogさん) >Windows XPマシンからHTTPで接続し,IIS上で公開されている >Wordファ
Windows XPに勝手にパスワード情報を送信する危険性【YUU MEDIA TOWN@Blog】at 2004年09月30日 11:03
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
パスワードが勝手に流れるのが仕様なんですか…XPユーザーとしては、やっぱりほっておけない問題な気がしますね。セキュリティホールがあるのは、ある程度仕方ないとしても、それを仕様と言ってしまうのは怖いことですよね。グラビティも情報がやはり命です。
会社でXP
【一点】どうなんでしょうね その問題…【Glavity グラビティ 激安 フライヤー印刷 ちらし印刷 ステッカー印刷 CDジャケット印刷 ポスター印刷 DTP デザイン】at 2004年09月30日 11:05
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
えーと、えーと、えーと…仕様ですか。修正もありえるけど、仕様ですか。そうですか。とりあえず発生するのは WinXP + Office 2000/XP/2003 が入っているマシンで IE を使って IIS サーバー上の DOC ファイルを開く時...
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる【Tedious Days More】at 2004年09月30日 13:35
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46
WindowsXP IE Office2000/XP/2003で「勝手にパスワード情報を送信する機能」は基本的には仕様::[アキバBlog]
もうね、ホントいい加減にしろ、と。...
MS Watchみたい【HOLD Blog Site】at 2004年10月03日 01:46