Electronic ArtsのActiveXコントロールに脆弱性

EA.comのアップデートパッケージに含まれる「SnoopyCtrl」というActiveXコントロールに深刻な脆弱性が見つかった。

» 2007年10月10日 08時44分 公開
[ITmedia]

 ゲームメーカーのElectronic Artsが提供している「SnoopyCtrl」というActiveXコントロールに深刻な脆弱性が見つかったとして、US-CERTなどがアドバイザリーを公開した。

 US-CERTによると、問題のActiveXコントロールは、EA.comのアップデートパッケージに含まれる「NPSnpy.dll」で提供されており、スタックバッファオーバーフローの脆弱性が複数存在するという。

 問題を悪用されると、攻撃者が細工を施したHTML文書をユーザーに閲覧させ、リモートで任意のコードを実行することが可能になる。

 現時点で公式パッチや実質的な解決策は存在せず、US-CERTではInternet ExplorerやFirefoxでSnoopyCtrlを無効にする回避策を紹介している。

 US-CERTの報告を受け、仏FrSIRTとデンマークのSecuniaもこの問題についてのアドバイザリーを公開。深刻度はFrSIRTが4段階で最も高い「Critical」、Secuniaは5段階で上から2番目に高い「Highly critical」と評価している。

関連キーワード

脆弱性 | ActiveX | Electronic Arts


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ