IEに新たな未パッチの脆弱性報告

IEに新たな脆弱性が発見された。既に実証コードも公開されており、危険度は「極めて重大」とされている。

» 2005年08月19日 08時06分 公開
[ITmedia]

 MicrosoftのInternet Explorer(IE)に関する新たな未パッチの脆弱性が、セキュリティ研究者などから報告された。実証コードも公開されているといい、Secuniaが8月18日に公開したアドバイザリーでは危険度を「極めて重大」と評価している。

 Secuniaによれば、影響を受けるのはIE 5.01/5.5/6.x、Office 2003/XP、Visual Studio .NET 2003。脆弱性を悪用されるとシステムを制御されてしまう恐れがあるという。

 脆弱性は、msdds.dll(Microsoft Design Tools - Diagram Surface)COMオブジェクトがIEで作成される際のエラーが原因で発生する。ユーザーが悪質なWebサイトを訪れると、任意のコードを実行される恐れがある。問題のCOMオブジェクトはVisual Studio .NET 2003とOffice Professional 2003、Office XPの一部としてインストールされることが分かっているが、ほかの製品にも含まれる可能性があるとしている。

 実証コードも公開されているが、現在のところ、実際にこの脆弱性を悪用できるかどうかについては、コードの実行が可能だとする報告と、問題を再現することはできないとの報告があり、見方が分かれているとSecuniaは解説している。

 Microsoftから修正パッチはリリースされておらず、Secuniaでは回避策として、ActiveXコントロールを信頼できるWebサイトのみに制限することを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ