Internet Watch logo
記事検索
最新ニュース

パッチをフル適用したIE 6.0で任意のスクリプトを実行される脆弱性


 デンマークのセキュリティベンダーであるSecuniaは20日、Internet Explorer(IE)に2つの脆弱性があると警告した。Secuniaでは危険度を、5段階中で上から2番目に高い“Highly critical”と評価している。Windows XP SP2のセキュリティ機能も回避し、ユーザーのシステムが危険にさらされる可能性があるという。

 1つ目の脆弱性は、HTMLコードが埋め込まれた画像ファイルなどをインターネットゾーンからローカルコンピュータゾーンにドラッグ&ドロップする際に、十分な確認が行なわれないというもの。これを悪用することで、ユーザーのシステム内に任意のHTMLドキュメントを書き込み、ローカルゾーンで任意のスクリプトを実行できるという。

 もう1つは、悪意あるWebサイトなどに埋め込まれたHTML Helpコントロールが、細工が施されたインデックスファイル(.hhk)を参照できるというもの。このセキュリティゾーンの制限エラーにより、ローカルゾーンのHTMLドキュメントが実行される可能性がある。なお、ローカルゾーンを保護するWindows XP SP2のセキュリティ機能も回避されるとしている。

 これら2つの脆弱性と、ActiveX Data Object(ADO)モデルが任意のファイルを書くことができるという不適切な振る舞いを組み合わせることで、ユーザーのシステムが壊される可能性があるという。なお、この脆弱性は、すべてのセキュリティ修正プログラム(パッチ)を適用したIE 6.0とWindows XP SP2で確認されているとしており、Secuniaでは対応策として、ActiveScriptを無効にするかIE以外の製品を使用する方法を示している。


関連情報

URL
  Secuniaの脆弱性情報(英文)
  http://secunia.com/advisories/12889/

関連記事
IE 5.01〜6に、最も危険でパッチ未公開の4種類の脆弱性が発見される(2004/07/14)


( 永沢 茂 )
2004/10/21 17:38

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.