IEにDoS問題、Vistaにも影響
Windows Vista上のIE 7にも影響するIEの脆弱性を米Determinaが報告した。細工を施したWebページを閲覧するとIEが終了してしまう可能性があるという。
Internet Explorer(IE)のActiveXコントロールにDoSの脆弱性が見つかったとして、セキュリティ企業の米Determinaがアドバイザリーを公開した。この問題はWindows Vista上のIE 7にも影響するが、コード実行などの危険はないとしている。
Determinaによると、VistaとXP、Windows 2000、Windows 2003で動作するIEの全バージョンにActiveXコントロールの脆弱性が存在し、細工を施したWebページを閲覧するとIEが終了してしまう可能性がある。ただ、それ以上のことはできず、リモートでコードを実行される可能性はなさそうだという。
MicrosoftはIE 7でActiveXを使った攻撃の回避策を盛り込み、過去に使ったことのないActiveXコントロールはユーザーが許可しない限り実行できないようにしている。しかしシステムレジストリの事前承認リストに含まれているActiveXコントロールはユーザーに警告が表示されないまま実行される。脆弱性のあるActiveXコントロールがこのリストに含まれるため、Windows XPとVistaのIE 7でユーザーが何もしなくても脆弱性を悪用できてしまうという。
Determinaのアドバイザリーではコンセプト実証コードも公開しているが、この問題を悪用されてもリモートからのコード実行などはできないため、どちらかというと安定性の問題だと解説している。Microsoftには1月16日に通報し、22日に返答があったという。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.