Visual Studio 2005に危険度高の脆弱性

この脆弱性を悪用すると任意のコードを実行することが可能になる。既に実証コードも公開されている。

» 2006年11月01日 18時20分 公開
[ITmedia]

 米Microsoftは10月31日、「Visual Studio 2005」に影響する脆弱性を報告した。

 同社のアドバイザリーによると、この脆弱性はVisual Studio 2005のWMI Object Broker ActiveXコントロールに関するもの。WMI Object BrokerはWmiScriptUtils.dllに含まれている。

 既に実証コードが出回っており、デンマークのセキュリティ企業Secuniaは、この脆弱性を、5段階評価で危険度の最も高い「Extremely critical」としている。これを悪用すると、例えばユーザーが不正なWebサイトにInternet Explorerでアクセスした時に、任意のコードを実行することが可能になってしまうとSecuniaは述べている。

 Microsoftによると、デフォルト設定のWindows Server 2003および同SP1で、Enhanced Security ConfigurationをオンにしてVisual Studio 2005を使っている場合は、この問題の影響は受けない。また問題のActiveXコントロールは、IE 7ではデフォルトで許可リストに入っておらず、「ActiveX Opt-in Feature」でこのコントロールを有効にしていなければ危険はないという。

 同社はこの問題を調査中であり、調査が完了次第、顧客を保護するために適切な措置を取るとしている。セキュリティアップデートを月例パッチの一部、あるいは顧客のニーズによっては臨時パッチとしてリリースするという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ