IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に

[ITmedia]

　Internet Explorerに、新たなバッファオーバーフローの脆弱性が発見された。パッチが存在しない上に、セキュリティ関連メーリングリストには問題の指摘とともに実証コードが投稿されているため、リスクは大きい。

　この脆弱性の存在が指摘されているのは、Windows 2000／Windows XP Service Pack 1とIE 6の組み合わせだ。IFRAMEタグを悪用して仕掛けを施したHTMLファイルを読み込ませることによりバッファオーバーフローが引き起こされ、リモートから任意のコードを実行される恐れがある。

　ただしSecuniaの情報によれば、Windows XP SP2がインストールされている場合は、この脆弱性の影響を受けないということだ。しかしながら、実証コードが公開されていることから危険性は非常に高く、同社では深刻さのランクを最高度に位置づけている。

　現時点での解決策はWindows XP SP2を適用するか、あるいは他のWebブラウザを用いること。

　なおIEに関しては、Safariについて報告されたものと同様の、ステータスバー偽造の脆弱性も指摘されている。