Internet Watch logo
記事検索
最新ニュース

IE用の累積的セキュリティ修正パッチ公開〜深刻度は“緊急”


 マイクロソフトは31日、Internet Explorerの脆弱性「MS04-025」を発表、累積的セキュリティ修正プログラムを公開した。修正対象となる脆弱性は3つで、いずれも悪意ある攻撃者からリモートでコードを実行される可能性があり、深刻度は“緊急”となっている。

 対象となるのはInternet Explorer 5.01/5.5/6。今回修正される脆弱性は、ナビゲーション クロスメソッドの脆弱性、不正なBMPファイルのバッファオーバーランの脆弱性、不正なGIFファイルのダブル フリーの脆弱性の3つ。

 ナビゲーションクロスメソッドの脆弱性は、「クロスゾーンスクリプティングの脆弱性」としてISSなどが警告していたもので、すでに攻撃コードも発見されていた。悪用すると、攻撃者はWebサイトを訪問するとリモートでコードが実行されるWebページを作成できる。

 不正なBMPファイルのバッファオーバーランの脆弱性と不正なGIFファイルのダブル フリーの脆弱性では、Internet ExplorerのBMPおよびGIFファイルの処理にバッファオーバーランの脆弱性が存在し、悪用すると攻撃者が任意のコードの実行が可能となる。

 今回修正される脆弱性はいずれも、ユーザーが管理者権限でログオンしている場合には、悪意ある攻撃者が攻撃されたPCの完全な制御を取得する可能性があり、ファイルの操作、ユーザーアカウントの作成などもリモートで実行される危険性がある。

 累積的修正プログラムは、Windows Updateサイトにアクセスすることで適用できる。





URL
  MS04-025:Internet Explorerの重要な更新
  http://www.microsoft.com/japan/security/security_bulletins/ms04-025e.asp
  MS04-025詳細情報(Microsoft TechNet)
  http://www.microsoft.com/japan/technet/security/bulletin/MS04-025.asp
  Windows Updateサイト
  http://windowsupdate.microsoft.com/

関連記事
“見るとアプリが落ちるGIF”の正体はトロイの木馬である可能性が(2004/07/02)
IE 5.01〜6に、最も危険でパッチ未公開の4種類の脆弱性が発見される(2004/07/14)
ISS、IEに存在するパッチ未公開のクロスゾーンの脆弱点を警告(2004/06/28)
IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている(2004/06/09)
マイクロソフト、脆弱性を利用したIEへの攻撃を回避するパッチを公開(2004/07/05)


( 工藤ひろえ )
2004/07/31 14:41

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.