japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月7日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
任天堂が、大画面の「ニンテンドーDSi LL」を発表。欲しいと思いますか?
欲しい
欲しいと思わない
他のDS製品を持っているが欲しい
他のDS製品を持っているのでいらない
投票締切 11/9 12:00
Webテクノロジー2007年1月30日 11:40

セキュリティ製品ベンダーが『IE』の未対応脆弱性を警告

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
セキュリティ製品ベンダーの Determina は27日、Microsoft (NASDAQ:MSFT) の Web ブラウザ『Internet Explorer』(IE) の全バージョンが、エンドユーザー環境においてサービス不能化 (DoS) 状態を引き起こしかねない脆弱性を含んでいると警告を発した。

Determina は勧告の中で、問題の脆弱性は『Windows 2000』『Windows XP』『Windows Server 2003』『Windows Vista』の IE 全バージョンにあるとしており、そのため広範囲に影響が及ぶ可能性があるという。

同社の勧告では、複数の『ActiveX』コントロールに脆弱性が存在し、「特定のオブジェクト プロパティに『JavaScript』でアクセスすると、無効なメモリアクセスの例外が発生してクラッシュする。脆弱性を持つ ActiveX コントロールの多くは、MSHTML.DLL ファイルに存在しており、IE の全バージョンで悪用が可能だ」と記している。これら ActiveX コントロールの脆弱性を突く悪意のある Web ページにアクセスすると、IE のプロセスが終了してしまう。

Determina によれば、Microsoft には16日に通知済みという。Microsoft 広報担当からコメントを得ることはできなかった。

Determina は、この脆弱性に関する概念実証コードを勧告の中で示している。当サイトは、すべてのパッチを適用した『Windows XP SP2』の IE 7 を使い、これを確認した。

この概念実証はとても基本的なもので、IE のクラッシュを引き起こすスクリプトは、一見無害に見える非常に簡潔なものだ。しかし実際には、ActiveX オブジェクトの背景色やリンク色プロパティにアクセスするだけで、IE をクラッシュさせることができる。

Determina の勧告によれば、この問題について Micosoft から Determina に対し22日に返事があったという。Determina は勧告の中に、Microsoft の返答文も掲載している。Microsoft の返答によると、「特別に細工した Web ページを表示する際、IE のインスタンス終了を引き起こすのに、該当の問題を利用し得ると確認した」という。しかし、この脆弱性は任意コード実行に至らず、ブラウザをクラッシュさせるだけだ。Microsoft は返答文の中で、この問題を「安定性」の問題として処理すると示唆している。現在までのところ、Microsoft はこの問題を修正していない。

  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
認証がオンラインビジネスの鍵である理由(11月4日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/