速報
» 2004年04月10日 09時20分 UPDATE

IEに脆弱性、完全な解決策は存在せず

CERTはIEに任意のコードを実行される恐れがある脆弱性があると警告。IE以外でもWebBrowser ActiveXコントロールなどを使っているプログラムも影響を受ける可能性があり、パッチがリリースされるまで「完全な解決策は存在しない」とCERT。

[ITmedia]

 米コンピュータ緊急対策チーム「US-CERT」は4月8日、MicrosoftのInternet Explorer(IE)に存在するクロスドメインスクリプティングの脆弱性についての警告を発した。悪用されると被害者のコンピュータ上で任意のコードを実行される恐れがある。

 CERTによるとこの脆弱性は、IEのInfoTech Storage(ITS)プロトコルハンドラーが「Compiled HTML Help」(CHM)ファイルに保存されたHTMLコンポーネントのセキュリティ領域を定める方法に存在する。

 攻撃者は被害者に特定のWebページやHTMLメールなどを参照させることで、CHMファイルに仕込んだ任意のスクリプトをその被害者と同じ権限で実行できる。

 この脆弱性は、IE以外でもOutlookやOutlook Expressなど、WebBrowser ActiveXコントロールあるいはIE HTMLレンダリングエンジン(MSHTML)を使っているプログラムも影響を受ける可能性がある。

 CERTによれば、IE以外のブラウザを使ってもこの脆弱性は回避できないかもしれない。IE以外のブラウザがWindowsシステム上で、IEにITSプロトコルURLを処理させることがあるためだ。

 この脆弱性を悪用するコードは実際に存在し、実際にこれが悪用されていることを示す報告もあるという。

 「この脆弱性に関し、現段階では完全な解決策は存在しない」とCERTは指摘。パッチがリリースされるまでの間、ActiveスクリプティングとActiveXコントロールの機能を停止し、迷惑メールなどで送られてくるURLをクリックしないなど、攻撃の可能性を低減させる当面の措置を講じるよう勧告している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -