Internet Watch logo
記事検索
最新ニュース

IEにパッチ未提供の危険な脆弱性、マイクロソフトが回避策を公開


 マイクロソフトは15日、Internet Explorer(IE)のActiveXコントロールに含まれる脆弱性について、セキュリティアドバイザリを公開した。セキュリティアドバイザリでは、脆弱性の回避策としてIEの設定を変更する方法などを挙げている。

 この脆弱性は、Microsoft DirectAnimationパスのActiveXコントロールに関するもの。メモリ破損エラーを引き起こすことにより、任意のコマンドを実行させることが可能で、この脆弱性が悪用された場合には、ユーザーがWebページを閲覧しただけで、悪意のあるコードが実行される危険性がある。

 13日には、仏FrSIRTがこの問題をパッチ未提供のが脆弱性として警告。脆弱性の危険度を4段階中で最も高い“Critical”とレーティングした。既にこの脆弱性の攻撃用コードはネット上で公開されており、容易に悪用が可能な危険な状態にある。

 セキュリティアドバイザリでは、この脆弱性に対する攻撃を回避する方法として、対象となるActiveXコントロールが実行されないようにKill Bitを設定する方法や、信頼できるサイト以外ではスクリプトの実行を禁止する方法、スクリプトの実行前に必ず警告を表示させる設定方法などを挙げている。

 マイクロソフトでは、この脆弱性が実際に悪用されたという情報は確認できていないとしているが、現在この問題について調査中であり、調査完了後にセキュリティ修正プログラム(パッチ)をリリースするとしている。


関連情報

URL
  マイクロソフトセキュリティアドバイザリ(925444)
  http://www.microsoft.com/japan/technet/security/advisory/925444.mspx

関連記事
IEにパッチ未提供の脆弱性、FrSIRTが警告(2006/09/14)


( 三柳英樹 )
2006/09/15 20:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.