Internet Watch logo
記事検索
最新ニュース

WindowsのActiveXコントロールにパッチ未提供の脆弱性


 US-CERTは27日、Windowsの「WebViewFolderIcon」ActiveXコントロールに、リモートから任意のコードを実行される恐れのある整数オーバーフローの脆弱性があるとして警告した。攻撃コードも出回っているという。

 この脆弱性は、Internet Explorer(IE)もしくはWebViewFolderIconを利用する他のアプリケーションを通じて攻撃できる。例えば、細工を施したWebサイトを閲覧させたり、HTMLメールを開かせたりすることで、そのユーザーの権限でリモートから任意のコードを実行できるという。

 Microsoftでは28日現在、この脆弱性に対するセキュリティ修正パッチは提供していない。US-CERTでは回避策として、1)WebViewFolderIconに対してKill Bitを設定して無効にする、2)ActiveXを無効にする、3)メールはプレーンテキストで閲覧する、4)信頼できないリンクは参照しない──という方法を紹介している。

 デンマークのSecuniaも28日、危険度が5段階中で最も高い“Extremely critical”というレーティングでこの脆弱性を警告した。Secuniaでは、パッチをすべて適用したWindows XP SP2のIE 6.0でこの脆弱性を確認したほか、他のバージョンでも影響を受ける可能性があるとしている。

 なお、この脆弱性については、HD Moore氏によって7月に指摘されていた。


関連情報

URL
  JVNの脆弱性情報
  http://jvn.jp/cert/JVNTA06-270A/index.html
  US-CERTのセキュリティアラート(英文)
  http://www.us-cert.gov/cas/techalerts/TA06-270A.html
  US-CERTの脆弱性情報(英文)
  http://www.kb.cert.org/vuls/id/753044
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/22159/


( 永沢 茂 )
2006/09/28 19:18

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.