仏セキュリティ機関FrSIRTは9月19日、MicrosoftのInternet Explorer(IE)で新たな脆弱性が発見されたと警告した。危険度は4段階中で最も高い「緊急(Critical)」。
この脆弱性は、長すぎる「塗りつぶし」が行われた直角形を含むVML文書を処理する際に、ベクター画像のレンダリングライブラリ(Vgx.dll)でバッファオーバーフローのエラーが起こることが原因。ユーザーに不正なWebサイトを訪問させ、サービス拒否攻撃や任意のコマンド実行に悪用される恐れがある。
この脆弱性の影響を受けるのは、Windows 2000 SP4上で動作するIE 5.01 SP4、Windows 2000 SP4およびWindows XP SP1で動作するIE 6 SP1、Windows XP SP2およびWindows Server 2003で動作するIE 6、Windows 98およびWindows Meで動作するIE 6 SP1。
この脆弱性を修正する公式パッチはリリースされていない。
FrSIRTはこの問題の解決策として、アクティブスクリプトを無効にすることを挙げている。
関連記事
- Microsoft、VML関連の新たな脆弱性に関する回避策を公開
- IEに新たな脆弱性、実証コードも登場
公開された実証コードは完全にパッチが当てられたバージョンのIEをクラッシュさせることができ、改変も容易だ。 - IEに未パッチの深刻な脆弱性
仏セキュリティ機関FrSIRTによる脆弱性警告が報じられた。ただしこの件については既に脆弱性実証コードが公開されている。その実態は?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.