|
|
■URL
http://www.microsoft.com/security/bulletins/ms99-032.asp
Microsoftは8月31日、Windows上のIE 4.0/5.0に付属するActiveXコントロールのセキュリティホールを報告し、パッチを公開した。
これは、IE 4.0/5.0の標準ActiveXコントロールである「scriptlet.typelib」「Eyedog」の2つに関するもの。悪意のあるサイトからこれらを通じて、ユーザー側のマシンのローカルファイルやレジストリを書き換えたりできる可能性があるという。また、Eyedogにはバッファオーバーフロー攻撃の可能性もあるという。
なお、scriptlet.typelibのセキュリティホールは、Georgi Guninski氏が8月にセキュリティに関するメーリングリスト「Bugtraq」などで報告し、いくつかのメディアでも報道されていたもの。
編集部で動作確認したところ、パッチは日本語版IE 5.0にも適用でき、Guninski氏によるデモンストレーションを実行すると「危険性があるため実行しない」旨のメッセージが表示された。
('99/9/1)
[Reported by masaka@impress.co.jp]