IEにDoS問題、Vistaにも影響

Windows Vista上のIE 7にも影響するIEの脆弱性を米Determinaが報告した。細工を施したWebページを閲覧するとIEが終了してしまう可能性があるという。

» 2007年01月30日 09時54分 公開
[ITmedia]

 Internet Explorer(IE)のActiveXコントロールにDoSの脆弱性が見つかったとして、セキュリティ企業の米Determinaがアドバイザリーを公開した。この問題はWindows Vista上のIE 7にも影響するが、コード実行などの危険はないとしている。

 Determinaによると、VistaとXP、Windows 2000、Windows 2003で動作するIEの全バージョンにActiveXコントロールの脆弱性が存在し、細工を施したWebページを閲覧するとIEが終了してしまう可能性がある。ただ、それ以上のことはできず、リモートでコードを実行される可能性はなさそうだという。

 MicrosoftはIE 7でActiveXを使った攻撃の回避策を盛り込み、過去に使ったことのないActiveXコントロールはユーザーが許可しない限り実行できないようにしている。しかしシステムレジストリの事前承認リストに含まれているActiveXコントロールはユーザーに警告が表示されないまま実行される。脆弱性のあるActiveXコントロールがこのリストに含まれるため、Windows XPとVistaのIE 7でユーザーが何もしなくても脆弱性を悪用できてしまうという。

 Determinaのアドバイザリーではコンセプト実証コードも公開しているが、この問題を悪用されてもリモートからのコード実行などはできないため、どちらかというと安定性の問題だと解説している。Microsoftには1月16日に通報し、22日に返答があったという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ