News:ニュース速報 | 2003年4月24日 08:52 AM 更新 |
米Microsoftは4月23日、Webブラウザ「Internet Explorer」(IE)に最大深刻度「緊急」のものを含む、4つのセキュリティホールが見つかったと報告、新たな累積パッチをリリースした。また電子メールソフト「Outlook Express」にも同様に最大深刻度「緊急」の脆弱性が見つかり、累積パッチがリリースされた。
IEの脆弱性はバージョン5.01/5.5/6.0に影響する。ユーザーが仕掛けの施されたWebサイトを閲覧したりHTMLメールをオープンした場合に任意のコードを実行される恐れがある。
4つの脆弱性のうち1つはURLMON.DLLに見られるバッファオーバーフローの問題。Webサーバから得た情報のパラメータをIEが正しくチェックしないために起きる。この脆弱性を悪用するとアタッカーがユーザーのシステム上で任意のコードを実行する可能性がある。
ほかの3つは、ファイルアップロードコントロールの脆弱性(アタッカーがユーザーのシステムからWebサーバに自動でファイルをアップロードさせる恐れがある)、サードパーティファイルのレンダリング処理に関する問題点(アタッカーがサードパーティファイル形式のレンダリングの際にスクリプトを起動する特殊なURLを用意して実行する恐れがある)、およびモーダルダイアログの処理方法に関する脆弱性となっている。
一方、Outlook Expressの脆弱性は、同ソフトのバージョン5.5と6.0に影響、ユーザーがWebサイトもしくはHTMLメールで特別に作られたMHTML URLを開いた場合、アタッカーによって任意のコードを実行される恐れがあるという。
関連リンク
[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.