IEにまた未パッチの脆弱性

この脆弱性を悪用すると、脆弱なシステム上で任意のコマンドを実行したり、ブラウザをクラッシュさせることができてしまう。

» 2006年07月20日 14時09分 公開
[ITmedia]

 仏セキュリティ機関FrSIRTは7月19日、Microsoft Internet Explorer(IE)で新たな脆弱性が発見されたと報告した。危険度は最も高い「Critical」としている。

 この問題は、特殊な細工を施されたsetSlice()メソッドでWebViewFolderIconオブジェクトを処理する際に、Common Controlsライブラリ「comctl32.dll」で整数オーバーフローのエラーが起きることが原因。これを悪用すると、不正な細工をしたWebページにユーザーを誘導することで、任意のコマンドを実行したり、ブラウザをクラッシュさせることができてしまうという。

 この問題の影響を受けるのは、Windows 2000 Service Pack(SP)4上で動作するIE 5.01 SP4およびIE 6 SP1、Windows 98(SE含む)/Me/XP SP1上で動作するIE 6 SP1、Windows XP SP2/x64 EditionおよびWindows Server 2003(SP1、Itanium版含む)上で動作するIE 6。

 現時点でMicrosoftはこの脆弱性を修正するパッチを提供していない。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ