セキュリティ情報

Microsoft セキュリティ情報 MS01-027 - 重要

Web サーバー証明書の検証の欠陥により、スプーフィングが有効になる可能性がある

公開日: 2001 年 5 月 16 日 |更新日: 2003 年 6 月 23 日

バージョン: 1.4

投稿日: 2001 年 5 月 16 日
更新日: 2003 年 6 月 23 日

まとめ

このセキュリティ情報を読む必要があるユーザー:
Microsoft® インターネット エクスプローラーを使用しているお客様。

脆弱性の影響:
信頼された Web サイトのスプーフィング。

推奨事項:
お客様は、パッチの適用を検討する必要があります。

影響を受けるソフトウェア:

• Microsoft Internet エクスプローラー 5.01
• Microsoft Internet エクスプローラー 5.5

一般情報

技術詳細

技術的な説明:

インターネット エクスプローラーに影響を与える 2 つの新しく検出された脆弱性を排除するための修正プログラムを使用できます。この両方により、攻撃者が信頼できる Web サイトをスプーフィングする可能性があります。 最初の脆弱性には、Web サーバーからのデジタル証明書の検証方法が含まれます。 このような証明書の CRL チェックが有効になっている場合、次のチェックの一部またはすべてを実行できなくなる可能性があります。

• 証明書の有効期限が切れていないことを確認する
• サーバー名が証明書の名前と一致することを確認する
• 証明書の発行者が信頼されていることを確認する

2 つ目の脆弱性により、Web ページが別の Web サイトの URL を IE アドレス バーに表示する可能性があります。 このスプーフィングは、偽装されたサイトとの有効な SSL セッション内で発生する可能性があります。 どちらの脆弱性も、攻撃者の Web サイトが実際には別のサイトであり、ユーザーが信頼し、機密情報を提供する可能性があることをユーザーに納得させるために使用される可能性があります。 ただし、以下の「軽減要因」セクションで説明されているように、いずれかの脆弱性を悪用することに大きな障害が生じる可能性があります。

この修正プログラムでは、2 つの新しい脆弱性を排除することに加えて、以前に説明した脆弱性の 2 つの新しいバリエーションである "Frame Doメイン Verification" 脆弱性も排除されます。これは、もともと Microsoft セキュリティ情報 MS00-033 で説明されていました。 元のバージョンと同様に、これらの新しいバリアントの脆弱性により、悪意のある Web サイトオペレーターが 2 つのブラウザー ウィンドウを開き、1 つは Web サイトの doメイン もう 1 つはユーザーのローカル ファイル システム上で開き、後者から前者に情報を渡すことができます。 これにより、Web サイトオペレーターは、ブラウザー ウィンドウで開くことができるユーザーのローカル コンピューター上の任意のファイルを読み取ることができる可能性があります。

これらの脆弱性は、パッチをインストールするか、影響を受けないバージョンにアップグレードすることで排除できます。 ただし、FAQ とサポート技術情報の記事Q308411で説明したように、Windows 95、98、98、または ME を実行しているシステムで IE 6 にアップグレードするユーザーはStandard Edition、脆弱性を排除するために一般的なインストール (これが既定) またはフル インストールを選択する必要があります。

軽減要因:

サーバー証明書の検証の脆弱性:

• この脆弱性は、Web サーバーからの証明書の検証方法にのみ影響します。 コード署名証明書やその他の種類の証明書の検証方法には影響しません。
• バイパスされる可能性のある特定のチェックは、ユーザーと、現在のブラウズ セッション中に実行したアクションの両方によって異なります。 攻撃者は、特定のケースでチェックがバイパスされる可能性のある程度の確実性を予測できませんでした。
• この脆弱性により、ユーザーを攻撃者の Web サイトに強制的にアクセスさせる方法は提供されません。 この脆弱性は、成功した DNS ポイズニングまたは同様の攻撃と組み合わせてのみ悪用される可能性があります。

Web ページのスプーフィングの脆弱性:

• 上記の脆弱性と同様に、この脆弱性はユーザーを攻撃者の Web サイトに強制的にアクセスさせる方法を提供せず、DNS ポイズニングやその他の対策が悪用される可能性があります。
• ページ内のハイパーリンクは、ターゲットを正しく表示します。 その結果、攻撃者はこれらをスプーフィングされた Web サイト上の bona fide の場所を指す必要があります。その結果、攻撃者はサイト全体ではなく、1 つの Web ページのみをスプーフィングできる可能性があります。

"Frame Doメイン Verification" 脆弱性の新しいバリエーション:

• この脆弱性は、ファイルの追加、削除、変更ではなく、読み取りにのみ使用できます。
• 攻撃者は、読み取りたいすべてのファイルの正確な名前と場所を知る必要があります。
• この脆弱性は、ブラウザー ウィンドウ内で開くことができるファイルの種類 (ファイルの.htm、.txt、.docなど) の読み取りにのみ使用できますが、ファイルの.exeや.xlsには使用できません。

脆弱性識別子:

• サーバー証明書の検証の脆弱性: CAN-2001-0338
• URL スプーフィングの脆弱性: CAN-2001-0339
• "Frame Doメイン Verification" 脆弱性の新しいバリエーション: CAN-2001-0246 および CAN-2001-0332

テスト済みバージョン:

Microsoft は、インターネット エクスプローラー 5.01 および 5.5 をテストして、これらの脆弱性の影響を受けるかどうかを評価しました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

このセキュリティ情報では、どのような脆弱性が説明されていますか?
このセキュリティ情報では、次の 4 つのセキュリティ脆弱性について説明します。

• Web サーバーからのデジタル証明書の検証方法に影響を与える脆弱性。
• Web ページに表示される URL に影響を与える脆弱性。
• 前に説明した 2 つの新しいバリアント "Frame Doメイン Verification" 脆弱性。

ここで提供されているパッチは、これらの脆弱性を排除する以外に何かしますか?
はい。 また、Microsoft セキュリティ情報 MS01-020 で以前に提供された更新プログラムの機能も組み込まれています。 これは、お客様がそこで説明した脆弱性からシステムを保護する際の利便性を高めるために行われました。

これらの脆弱性のいずれかが IE 6 に影響しますか?
いいえ。 IE 6 にアップグレードすることで、それらを排除できます。 ただし、Windows 95、98、98Se、または ME を実行している場合は、特定の方法で IE 6 をインストールする必要があることに注意する必要があります。 具体的には、[フル インストール] または [一般的なインストール] オプションを選択する必要があります。 (既定のインストールの種類は [一般的なインストール] です)。 [最小インストール] または [カスタム インストール] を選択した場合、脆弱性を含むファイルがアップグレードされず、システムが脆弱メイン可能性があります。 Windows NT 4.0、Windows 2000、または Windows XP を実行しているお客様は、このコンティンジェンシーに関心を持つ必要はありません。IE 6 では、これらのシステムにインストールするときに最小インストールまたはカスタム インストール オプションが提供されないためです。 これらのシステムのいずれかで IE 6 にアップグレードすると、脆弱性が完全に排除されます。 詳細については、サポート技術情報の記事Q308411を参照してください。

デジタル証明書に影響を与える脆弱性の範囲は何ですか?
WEB サーバーによって提供されるデジタル証明書に対して特定の種類のチェックを実行するように IE が構成されている場合、他の予期されるチェックは実行されなくなります。 これにより、攻撃者の Web サイトが信頼できるサイトとして偽装される可能性があります。 この脆弱性を悪用することは、非常に困難な課題になります。 この脆弱性は、信頼できるサイトから攻撃者のサイトに Web セッションを実際に転送する方法を提供しません。訪問者が到着した後に、サイトを bona fide として渡す方法のみを提供します。 トラフィックをサイトに転送するには、攻撃者が DNS ポイズニングまたはその他の技術的に困難な攻撃を前提条件として正常に実行する必要があります。

この脆弱性の原因は何ですか?
IE の欠陥により、サーバー証明書に対して CRL チェックが有効になっている場合、特定の証明書チェックが作成されなくなります。 具体的には、CRL チェックが選択されている場合、IE では、ルート CA の信頼状態、証明書の有効期限、または証明書で指定された共通名が正しく検証されないことがあります。

CRL とは
CRL (証明書失効リスト) は、信頼できないことがわかっているデジタル証明書の一覧です。 デジタル証明書は、証明機関 (CA) と呼ばれる組織によって発行されます。 各 CA は、有効期限やその他の情報に基づいて、有効と思われる可能性があるすべての証明書の一覧を定期的に発行しますが、実際には公開されません。 たとえば、証明書が紛失または盗難にあったり、証明書が発行されたユーザーが証明書を使用する権限を持っていない可能性があります。 CRL と一般的な PKI の詳細については、https: を参照してください。

CRL のチェック方法に何が問題がありますか?
IE チェック CRL の方法に問題はありません。 問題の原因は、1 つの種類の CRL チェックが有効になっている場合、他の種類のチェックが正しく実行されなくなったためです。

使用可能な CRL チェックの種類と、この脆弱性の影響を受ける CRL の種類
IE には、さまざまな状況で CRL をチェックするための 2 つのオプションがあります。 1 つのオプションは、Web サーバーが証明書を提示するときに CRL をチェックするかどうかを決定します。 もう 1 つは、デジタル署名されたプログラムまたは ActiveX コントロールのダウンロード時に CRL をチェックするかどうかを決定します。 チェックサーバー証明書に関連付けられているオプションのみが、この脆弱性の影響を受けます。

サーバー証明書 CRL チェックが有効になっている場合、どのような種類のチェックが正しく機能しませんか?
この欠陥により、次のチェックの一部または全部が実行されない可能性があります。

• 証明書の有効期限が切れていないことを確認する
• サーバー名が証明書の名前と一致することを確認する
• 証明書の発行者が信頼されていることを確認する

この脆弱性は、これらのチェックの作成を妨げるか、または特定の状況でのみ行われるのを妨げるのですか?
特定の状況でチェックが行われるのを防ぐだけです。 どのチェックが正しく作成され続けるかを決定する要因は多数あり、そのほとんどはユーザーの閲覧履歴の機能です。 ブラウザーが同じように構成されている 2 人のユーザーは、以前にアクセスしたサイトと以前に確認した証明書に応じて、脆弱性によってまったく異なる方法で影響を受ける可能性があります。

サーバー証明書 CRL チェックが有効になっていない場合、これらのチェックは正しく機能しますか?
はい。 CRL チェックが無効になっている場合 (これが既定の条件)、他のすべてのチェックが常に正しく実行されます。 CRL チェックが有効になっている場合にのみ、それらが散発的に機能します。

この脆弱性により、攻撃者は何を実行できるでしょうか。
最悪の場合、攻撃者は自分の Web サイトを別のサイト (訪問者が信頼できるサイト) のように表現できる可能性があります。 John が Web サイトを運営していたが、Jane の Web サイトを偽装したかったとします。 また、John が、実際に Jane のサイトに行くつもりだったときに、ユーザーが自分のサイトに到着する手段があったとします。 (この問題の側面については、後で詳しく説明します)。 この脆弱性により、John は、予想されるすべてのチェックを渡す証明書を提供することで、実際に Jane のサイトにいたと訪問者を納得させる方法を提供します。

John はどのようにして、チェックを渡す証明書を作成できますか?
スプーフィングするチェックに応じて、これを行う方法は 2 つあります。 たとえば、次の場合があります。

• 自分の CA を設定し、自分のサイトを Jane と識別した証明書を自分自身に発行します。 ブラウザーが証明書の発行者を正しくチェックしなかった訪問者は、証明書が bona fide であると誤って結論付けます。
• 自分の名前で bona fide 信頼された発行者から証明書を取得します。 ブラウザーが証明書の名前をチェックしなかった訪問者は、誤ってそれが bona fide であると結論付けます。

ただし、覚えておく必要がある重要な点は、訪問者のブラウザーが脆弱性によって異なる影響を受けるということです。 その結果、John が選択したオプションに関係なく、すべての訪問者のマシンで動作するわけではありません。

あなたは、ジョンがジェーンに行くつもりのときに訪問者を彼のサイトに到着させる方法が必要だと言いました。 どのように彼はこれを行うことができますか?
John は、DNS 中毒攻撃を最初に正常にマウントできた場合にのみ、知らず知らずのうちに訪問者をサイトに強制することができました。 DNS ポイズニング攻撃では、DNS サーバーを侵害し、データベースを変更して、特定の URL (Jane のサイトへの URL など) を別のサーバーの IP アドレス (この例では John のサイト用) に誤って解決します。 DNS ポイズニング攻撃は、攻撃者の問題に悩まされています。

• 実行が困難です。
• その効果は一時的なものになる傾向があります。 DNS サーバーは常にデータベースを更新し、侵害されたデータベースであっても、最終的に正しい情報の提供を再開します。
• 効果はローカルです。 異なるユーザーが異なる DNS サーバーに依存しているため、攻撃者は意図した被害者が使用した特定の DNS サーバーを侵害する必要があります。

サーバー証明書に対して CRL チェックが有効になっている頻度はどのくらいですか?
実際には、CRL チェックは、公開キー インフラストラクチャを展開した企業内でのみ使用される傾向があります。

CRL チェックを使用しない場合は、パッチを適用する必要がありますか?
いいえ。 ただし、後で CRL チェックを有効にする必要がある場合は、それをコンティンジェンシーとして適用することを検討してください。

サーバー証明書の CRL チェックを有効にしたかどうかを確認するにはどうすればよいですか?
[IE ツール] メニューから [オプション] を選択し、[詳細設定] タブをクリックします。[セキュリティ] セクションまで下にスクロールし、[Check for server certificate revocation]\(サーバー証明書失効の確認\) が選択されているかどうかを確認します。 存在する場合は、サーバー証明書 CRL チェックが有効になり、この脆弱性の影響を受けます。 既定では選択されません。 "発行元の証明書失効を確認する" というタイトルのこのオプションのすぐ上にあるオプションは、デジタル署名されたプログラムと ActiveX コントロールがダウンロードされるときに CRL がチェックされるかどうかを示します。 前述のように、このオプションは脆弱性の影響を受けません。

Microsoft セキュリティ情報 MS01-017 では、IE での CRL チェックは正しく機能しますが、CRL のチェックに関する問題の修正プログラムを提供しています。 これらのステートメントはどのように一貫性がありますか?
このセキュリティ情報と Microsoft セキュリティ情報 MS01-017 では、まったく異なる 2 種類の証明書と、まったく異なる 2 つの検証メカニズムについて説明します。 このセキュリティ情報で問題になっている証明書は、Web サーバーを識別するために使用されます。MS01-017 で説明されている内容は、プログラムにデジタル署名するために使用されます。 CRL チェックが有効になっていると、IE は Web サーバー証明書を正しく処理しませんが、CRL チェックが有効になっている場合は、コード署名証明書を正しく処理します。

この修正プログラムはどのようにしてこの脆弱性を排除しますか?
この修正プログラムは、サーバー証明書 CRL チェックが有効になっている場合でも、予期されるすべてのチェックが実行されるようにすることで、この脆弱性を排除します。

Web ページに表示される URL に影響を与える脆弱性の範囲は何ですか?
この脆弱性により、攻撃者は自分の Web サイトのコンテンツが実際に別のサイトから発信されたように見える可能性があります。 他のサイトがユーザーから信頼されていた場合、攻撃者はユーザーに機密情報や個人情報を提供するよう説得できる可能性があります。 攻撃者のサイトが、コンテンツが本物であることを確認するように見える SSL セッションを確立する可能性があります。 この脆弱性の範囲には、次の 2 つの重要な制限があります。

• 上記で説明した脆弱性と同様に、この脆弱性はユーザーが攻撃者のサイトに実際に到着する方法を提供しません。訪問者がそこに到着した後にのみ、bona fide サイトとしてポーズを取る方法を提供します。
• この脆弱性により、攻撃者はターゲット Web サイト上の 1 ページのスプーフィングを意図的に行うだけで済む可能性があります。

この脆弱性の原因は何ですか?
ブラウザー ウィンドウに別のサイトの URL がアドレス バーに表示される可能性があるため、この脆弱性が発生します。 さらに、URL が正しいという説得力のある証拠を提供するために、別のサイトとの SSL セッションを確立することもできます。

攻撃者がこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、この脆弱性を使用して別のサイトのなりすましを行う可能性があります。つまり、すべての意図と目的で別の Web サイト上のページと見なされる Web ページを表示するために、Web サイトがこの脆弱性を悪用する可能性があります。 たとえば、Joe が Web サイトを運用しているとします。 Jane が自分のサイトにアクセスするように誘導できれば、この脆弱性を悪用して、彼女が実際に銀行の Web サイトにいたように見える可能性があります。 その後、Joe はスプーフィングされたページを使用して、たとえば、Jane にオンライン銀行口座の PIN を入力するよう求める場合があります。

この脆弱性により、攻撃者は SSL で保護されたセッションのスプーフィングを行うことができますか?
はい。 Web ページを慎重に操作することで、攻撃者がスプーフィングされた Web サイトとの有効な SSL セッション内にコンテンツを表示する可能性があります。 この例では、Joe の偽のコンテンツが Jane のオンライン バンキング サイトの URL を表示するだけでなく、セッションが SSL によって保護されたことを示す "ロック" アイコンも表示できるようにします。 さらに、Jane が "ロック" アイコンをクリックして証明書をチェックした場合は、実際に銀行のデジタル証明書になるため、検査に合格します。

これにより、攻撃者はサイト全体をスプーフィングできるようになりますか?
いいえ。 この脆弱性は、ページ自体のハイパーリンクをスプーフィングする方法を提供しません。 ただし、Joe は他の手法の組み合わせを使用して、サイト上の複数のページのスプーフィングを行う場合があります。 この場合でも、Joe はサイト上のセキュリティで保護された (SSL で保護された) ページのみをスプーフィングできました。 最も安全なサイトと同様に、スプーフィングされたサイトが SSL ページと非 SSL ページの組み合わせで構成されている場合、Joe は SSL 以外のページをスプーフィングできず、スプーフィング攻撃が中断される非 SSL ページへのリンクに続いて Jane のリスクが発生します。 もちろん、Jane がこれらのリンクの 1 つに従うと、彼女は Joe のサイトにいなくなり、彼女を戻す方法はなくなります。

攻撃者はこの脆弱性を使用してユーザーをサイトに強制的にアクセスさせる可能性がありますか?
いいえ。 上記で説明した脆弱性の場合と同様に、この脆弱性は、攻撃者のサイトに到着したユーザーをだます方法を提供しますが、最初にサイトにアクセスさせる方法は提供しません。 攻撃者は DNS 中毒やその他の技術的な攻撃に頼る必要があり、いずれも簡単に実行されない可能性があります。

この修正プログラムはどのようにしてこの脆弱性を排除しますか?
この修正プログラムは、HTML コードが表示される URL を操作しないように、影響を受ける関数を変更することで、この脆弱性を排除します。

"Frame Doメイン Verification" 脆弱性の 2 つの新しいバリエーションのスコープは何ですか?
新しいバリアントの範囲は、Microsoft セキュリティ情報 MS00-033 で説明されている元のバリアントのスコープとまったく同じです。 この脆弱性の根本的な原因は異なりますが、Web サイトを運用している攻撃者が、ユーザーを訪問しているコンピューター上のファイルを表示できる可能性があります。 攻撃者は、ユーザーのコンピューター上のファイルの名前と場所を知る必要があり、ブラウザー ウィンドウで開くことができるファイルのみを表示できます。

"Frame Doメイン Verification" の脆弱性に関する詳細情報はどこで入手できますか?
Microsoft セキュリティ情報 MS00-033、MS00-055、MS00-093、MS00-015 では、以前の脆弱性のバリエーションについて詳しく説明しています。

新しいバリアントと前のバリアントの間に違いはありますか?
新しいバリアントの原因、効果、修復は、以前に報告されたものとまったく同じです。

• 前のバージョンと同様に、新しいバリアントは、特定の関数が異なる doメイン のブラウザー ウィンドウが相互に通信することを妨げるのを防ぐことがないために発生します。
• すべてのバリエーションの効果は同じです。攻撃者は、自分の Web サイトでブラウザー ウィンドウを開き、1 つをローカル コンピューター上で開き、後者のウィンドウから前のウィンドウにデータを転送する可能性があります。 これにより、攻撃者はファイルを読み取れますが、ファイルの追加、変更、削除は行われません。
• 修復はパッチを適用することです。これにより、関数は異なる doメイン でブラウザー ウィンドウを適切に分離します。

新しいバリアントと前に説明したバリアントの違いは 2 つだけです。

• 欠陥を含む特定の関数は異なります。
• 関数の 1 つは Windows 2000 システムにのみ存在し、その関数に関連付けられているバリアントを他のシステムで利用することはできませんでした。

この修正プログラムは、元のバリエーションと新しいバリエーションを排除しますか?
はい。 Windows 2000 システムにインストールすると、修正プログラムによって新しいバリアントとその前のすべてのバリアントが削除されます。 他のシステムにインストールすると、以前のバリアントは削除されますが、Windows 2000 以外のシステムには影響しないため、現在のバリアントは削除されません。

パッチの可用性

このパッチのダウンロード場所

• インターネット エクスプローラー 5.01
  </https:>https:

• Internet Explorer 5.5
  </https:>https:

このパッチに関する追加情報

インストール プラットフォーム:

このパッチは、インターネット エクスプローラー 5.01 Service Pack 2 およびインターネット エクスプローラー 5.5 Service Pack 1 を実行しているシステムにインストールできます

今後のサービス パックに含める:

この問題の修正プログラムは、インターネット エクスプローラー 5.5 Service Pack 2 とインターネット エクスプローラー 6 に含まれます。

置き換えられたパッチ:

• IE 5.01 パッチは、Microsoft セキュリティ情報 MS01-020 で提供されている更新プログラムよりも優先されます。
• IE 5.5 の更新プログラムは、Microsoft セキュリティ情報 MS01-015 および MS01-020 に記載されている更新プログラムよりも優先されます。

修正プログラムのインストールの確認:

• コンピューターに修正プログラムがインストールされていることを確認するには、IE を開き、[ヘルプ] を選択し、[インターネット エクスプローラーについて] を選択し、[更新プログラムのバージョン] フィールドに Q295106 (IE 5.01) または Q299618 (IE 5.5) が表示されていることを確認します。
• 個々のファイルを確認するには、サポート技術情報の記事Q295106およびQ299618で提供されているパッチ マニフェストを使用します。

注意事項:

Windows 95、98、98、または ME を使用していてStandard Edition、影響を受けるバージョンから IE 6 にアップグレードしてこれらの問題を排除することを選択しているお客様は、FAQ で説明されているように、フル インストールまたは一般的なインストールを実行する必要があります。

ローカライズ:

このパッチのローカライズされたバージョンは、「このパッチのダウンロード場所」というタイトルのセクションで上記の場所で入手できます。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

• セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
• パッチは、WindowsUpdate Web サイトから入手することもできます

その他の情報:

受信確認

Microsoft は、Web サイトのスプーフィングの問題と 、"Frame Doメイン Verification" 脆弱性の新しいバリエーションの 1 つを報告し、お客様を保護するために Microsoft と協力してくださった Alp Sinan (Hasan Alpaslan Sinanoglu) に感謝します。

サポート:

• マイクロソフト サポート技術情報の記事Q295106とQ299618この問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります。
• テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• V1.0 (2001 年 5 月 16 日): セキュリティ情報が作成されました。
• V1.1 (2001 年 5 月 24 日): インターネット エクスプローラー 5.5 の修正プログラムがダウンロード ページから削除されたことに注意するように更新されました。
• V1.2 (2001 年 5 月 25 日): このセキュリティ情報は、インターネット エクスプローラー 5.5 パッチの可用性に注意し、この更新プログラムが MS01-015 および MS01-020 の IE 5.5 パッチよりも優先されることに注意するように改訂されました。
• V1.3 (2001 年 9 月 21 日): この脆弱性を IE 6 のアップグレードによって排除する際に、完全インストールまたは一般的なインストールを実行する必要性について説明するために更新されました。
• V1.4 (2003 年 6 月 23 日): Windows Update のダウンロード リンクを更新しました。

2014-04-18T13:49:36Z-07:00</https にビルド:>