Office XP SP-1は、Outlook 2002でHTMLが閲覧されるのを防止する機能を含む

概要：
　マイクロソフト社のOffice XPに対するサービスパック1（SP-1）は、Microsoft OutlookのHTMLのタグ、及び JavaScriptやVisual Basic Scriptなどのスクリプト言語の解釈機能を利用する悪意のあるコード防止をする修正を含んでいる。

国際海外情報

2001年12月26日（水） 12時00分

概要：
　マイクロソフト社のOffice XPに対するサービスパック1（SP-1）は、Microsoft OutlookのHTMLのタグ、及び JavaScriptやVisual Basic Scriptなどのスクリプト言語の解釈機能を利用する悪意のあるコード防止をする修正を含んでいる。

　Knowledge Base（KB）のオンライン記事Q307594(http://support.microsoft.com/default.aspx?scid=kb;en-us;Q307594 参照)によると、SP-1に追加されたOutlook 2002の新機能を利用して、ユーザーはメールの設定を変更し、非デジタル方式で署名されたメールや、暗号化されていない全てのメールを、テキスト形式で読むことができる。（ID# 106601, Dec. 17, 2001）

　2001年12月13日にリリースされたSP-1は、Russ Cooper氏がNoHTML という無料ツールを提供したのと、ほぼ同じ時期に発表されている。NoHTMLツールは、基本的にSP-1に搭載されたアップデートの機能を同じもの。Cooper氏のアプリケーションは、コンポーネントオブジェクトモデルのアドインで、ユーザーがHTML形式のメールをOutlookで開くと同時に起動される。Outlook 2000では、HTMLメッセージがRTF形式のファイルに変換され、Outlook 2002では標準テキストファイルに変換される（ID# 106433, Dec. 5, 2001）。上記2つツールの主な違いは、Cooper氏のツールはプレビューウィンドウでHTMLを排除することはできないのに対し、SP-1はプレビューウィンドウからも HTMLを排除できる点である。

情報ソース：
Microsoft Corp. (KB Article Q307594, ), Dec. 12, 2001
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q307594
NTBugtraq (Russ Cooper, Russ.Cooper@rc.on.ca), Dec. 17, 2001

分析：
（iDEFENSE 米国）　このアップデートがリリースされたことで、クライアント側でスクリプティングを必要とするワーム・ウイルスや、拡散においてHTMLの解釈問題を利用するワーム・ウイルスを防ぐことができる。

暫定処置：
　Microsoft Outlookでクライアント側のスクリプティングをオフにするには、次のように設定を変更する。（翻訳者注釈： Outlookでのスクリプト解除手順は英語版と日本語版で違うため、ここでは具体的手順は翻訳せず、原文のまま残しておりますのでご了承願います）

1. From the Tools drop-down menu, select Options
2. Select the Security tab
3. Select Zone Settings and OK when prompted
4. Highlight the Internet zone and click the Custom Level button
5. Scroll down in the list to the Scripting heading and choose Disable for the Active scripting subheading.
6. Confirm the selection by clicking the OK button twice.

ベンダー情報：
SP-1に関する情報は
http://office.microsoft.com/downloads/2002/oxpsp1.aspx
からダウンロード可能。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:14 GMT、12、21、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

Office XP SP-1は、Outlook 2002でHTMLが閲覧されるのを防止する機能を含む

Scan PREMIUM 会員限定記事

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

範を示す～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例～米保険会社住宅空撮し保険契約猛烈却下

北中華製AIを攻撃活用／北 DMARC不正利用／北日本のアニメ制作関与かほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

範を示す ～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例 ～ 米保険会社 住宅空撮し保険契約 猛烈却下

北 中華製AIを攻撃活用／北 DMARC不正利用／北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

個人情報漏えいの疑いも ～ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

サイバーセキュリティ人材、女性の平均給与は男性と約８０万円差 ～ ISC2 調査

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少？ 感染率と身代金支払率 15 ヶ国調査 2024」

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

研修・セミナー・カンファレンス 記事一覧へ

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ～ AeyeScan「診断マネジメントプラットフォーム」

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ～ 5/23 解説セミナー開催

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

SECON 2024 レポート：最先端のサイバーフィジカルシステムを体感

製品・サービス・業界動向 記事一覧へ

「Cloudbase」が Oracle Cloud Infrastructure 対応

認証とID管理にガバナンスを ～ NTTデータ先端技術「VANADIS」で実現する「IGA（Identity Governance and Administration）」とは

「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付

脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載

暗所や逆光にも対応、両備システムズの多要素認証「ARCACLAVIS」がパナソニックの顔認証に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

範を示す～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例～米保険会社住宅空撮し保険契約猛烈却下

北中華製AIを攻撃活用／北 DMARC不正利用／北日本のアニメ制作関与かほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

個人情報漏えいの疑いも～八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

東京メトロ社員が遺失者になりすまし、現金総額 235,458円ほか遺失物着服

調査・レポート・白書・ガイドライン記事一覧へ

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期インターネット定点観測レポート

サイバーセキュリティ人材、女性の平均給与は男性と約８０万円差～ ISC2 調査

Proofpoint Blog 36回「身代金を払わない結果日本のランサムウェア感染率減少？感染率と身代金支払率 15 ヶ国調査 2024」

ロシアからの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

研修・セミナー・カンファレンス記事一覧へ

NRIセキュア研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ～ AeyeScan「診断マネジメントプラットフォーム」

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法～ 5/23 解説セミナー開催

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

製品・サービス・業界動向記事一覧へ

認証とID管理にガバナンスを～ NTTデータ先端技術「VANADIS」で実現する「IGA（Identity Governance and Administration）」とは

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ