ゲームメーカーのElectronic Artsが提供している「SnoopyCtrl」というActiveXコントロールに深刻な脆弱性が見つかったとして、US-CERTなどがアドバイザリーを公開した。
US-CERTによると、問題のActiveXコントロールは、EA.comのアップデートパッケージに含まれる「NPSnpy.dll」で提供されており、スタックバッファオーバーフローの脆弱性が複数存在するという。
問題を悪用されると、攻撃者が細工を施したHTML文書をユーザーに閲覧させ、リモートで任意のコードを実行することが可能になる。
現時点で公式パッチや実質的な解決策は存在せず、US-CERTではInternet ExplorerやFirefoxでSnoopyCtrlを無効にする回避策を紹介している。
US-CERTの報告を受け、仏FrSIRTとデンマークのSecuniaもこの問題についてのアドバイザリーを公開。深刻度はFrSIRTが4段階で最も高い「Critical」、Secuniaは5段階で上から2番目に高い「Highly critical」と評価している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR