IBM製サポートツールのActiveXコントロールに脆弱性

IBMがサポート自動化のためPCに組み込んでいるActiveXコントロール「eGatherer」と「acpRunner」に脆弱性が見つかったとするアドバイザリーが登場。いずれの脆弱性とも、IBMからパッチが提供されている。

» 2004年06月22日 08時25分 公開
[ITmedia]

 IBMがサポート自動化のためPCに組み込んでいるActiveXコントロール「eGatherer」と「acpRunner」に脆弱性が見つかったとして、セキュリティ企業のeEye Digital Securityがアドバイザリーを公表した。

 eEye Digitalによると、影響を受けるのはIBMのacpRunner Activex 1.2.5.0と、Access Support(eGatherer)Activex 2.0.0.16。いずれもリモートからコードを実行される恐れがあり、深刻度は「高」と評価している。

 acpRunnerの脆弱性を悪用すると、ユーザーに気付かれないままシステムに任意のファイルをダウンロードさせ、任意の場所に保存することが可能になる。悪質な実行ファイルをStartupフォルダにダウンロードさせておけば、起動時に自動的に実行されてしまう恐れもあると指摘している。

 一方、eGathererの脆弱性では、被害者のStartupフォルダにトロイの木馬ファイルを仕掛けることが可能になるほか、Webページ経由で任意のファイルを被害者のHDDに置くことができる。

 いずれの脆弱性とも、IBMからパッチが提供されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ