IE 6のDoS脆弱性、コード実行の可能性も

1月に報告されたIE 6の脆弱性は、DoSだけでなくコード実行にもつながる可能性があるとSANSが指摘。ただ、深刻度は低いと見られている。

[ITmedia]

　1月に報告されたMicrosoftのInternet Explorer（IE）のDoSの脆弱性について、DoS状態に陥るだけでなく、リモートでコードを実行できてしまう可能性もあるとSANS Internet Storm Centerが2月6日、サイトで指摘した。

　US-CERTの脆弱性リスト「CVE-2007-0099」によると、この脆弱性はIE 6のmsxml3モジュールに存在する。多数のネスト化されたIFRAMEタグを組み込み、細工を施したXML文書によってDoSが誘発され、アプリケーションがクラッシュする可能性がある。

　これを突いたエクスプロイトも公開されており、リモートのコード実行が可能であれば、単純なDoSよりもはるかに深刻な問題になる可能性があるとSANSは解説している。

　しかしSANSは同時に、このリモートのコード実行は制御が極めて難しく、ハッキングに利用するのは現実的ではないと判断。当面未パッチのまま放置されてもそれほど大きな問題にはならないと見て、危険度評価を4段階で最も低い「Less Urgent」に引き下げた。