Internet Watch logo
記事検索
最新ニュース

Windowsの「WebViewFolderIcon」の脆弱性、10月の月例パッチで対応予定


 マイクロソフトは29日、Windowsに含まれるActiveXコントロール「WebViewFolderIcon」に見つかった脆弱性について、セキュリティアドバイザリ(926043)を公表した。日本時間の10月11日にリリース予定の月例パッチでの対応を予定していることを明らかにするとともに、いくつかの回避策を紹介している。

 この脆弱性は7月にHD Moore氏によって指摘されていたものだが、これを悪用して任意のコードを実行するための攻撃コードが最近になって出回った模様だ。Internet Explorer(IE)をはじめ、WebViewFolderIconを利用する他のアプリケーションにおいて細工を施した悪意のあるサイトやHTMLメールを閲覧することで任意のコードを実行される恐れがあるため、9月27日にはUS-CERTが危険な脆弱性だとして警告した。さらに今回、マイクロソフトでも攻撃コードを確認したとして、修正パッチの必要性を認め、アドバイザリとして情報を公表した。

 マイクロソフトによると、影響を受けるのは、Windows 2000 SP4、Windows XP SP1/SP2、Windows Server 2003、Windows Server 2003 SP1、Windows XP Professional x64 Edition、Windows Server 2003 for Itanium-based Systems、Windows Server 2003 with SP1 for Itanium-based Systems、Windows Server 2003 x64 Edition。

 回避策としては、Kill Bitを設定して「WebViewFolderIcon」ActiveXコントロールがIEで実行されないようにする方法、IEにおいてActiveXを無効にする、または実行される前にダイアログを表示するよう設定する方法などを紹介し、具体的な設定方法も説明している。


関連情報

URL
  マイクロソフトセキュリティアドバイザリ(926043)
  http://www.microsoft.com/japan/technet/security/advisory/926043.mspx

関連記事
WindowsのActiveXコントロールにパッチ未提供の脆弱性(2006/09/28)


( 永沢 茂 )
2006/09/29 20:09

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.