| News:ニュース速報 | 2003年4月24日 08:52 AM 更新 |
IEとOutlook Expressに「緊急」の脆弱性
IEに4つの脆弱性が見つかり、米Microsoftが累積パッチをリリース。同時にOutlook Expressの累積パッチもリリースされた。最大深刻度は「緊急」
米Microsoftは4月23日、Webブラウザ「Internet Explorer」(IE)に最大深刻度「緊急」のものを含む、4つのセキュリティホールが見つかったと報告、新たな累積パッチをリリースした。また電子メールソフト「Outlook Express」にも同様に最大深刻度「緊急」の脆弱性が見つかり、累積パッチがリリースされた。
IEの脆弱性はバージョン5.01/5.5/6.0に影響する。ユーザーが仕掛けの施されたWebサイトを閲覧したりHTMLメールをオープンした場合に任意のコードを実行される恐れがある。
4つの脆弱性のうち1つはURLMON.DLLに見られるバッファオーバーフローの問題。Webサーバから得た情報のパラメータをIEが正しくチェックしないために起きる。この脆弱性を悪用するとアタッカーがユーザーのシステム上で任意のコードを実行する可能性がある。
ほかの3つは、ファイルアップロードコントロールの脆弱性(アタッカーがユーザーのシステムからWebサーバに自動でファイルをアップロードさせる恐れがある)、サードパーティファイルのレンダリング処理に関する問題点(アタッカーがサードパーティファイル形式のレンダリングの際にスクリプトを起動する特殊なURLを用意して実行する恐れがある)、およびモーダルダイアログの処理方法に関する脆弱性となっている。
一方、Outlook Expressの脆弱性は、同ソフトのバージョン5.5と6.0に影響、ユーザーがWebサイトもしくはHTMLメールで特別に作られたMHTML URLを開いた場合、アタッカーによって任意のコードを実行される恐れがあるという。
関連リンク
Microsoft Security Bulletin MS03-015(IEの脆弱性)
Cumulative Patch for Internet Explorer(同パッチ:813489)
Microsoft Security Bulletin MS03-014(Outlook Expressの脆弱性)
Cumulative Patch for Outlook Express(同パッチ:330994)[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。