公開日:2005/01/13 最終更新日:2005/01/21

JVNTA05-012B
Microsoft WindowsでHTML HelpのActiveXコントロールにクロスドメインの脆弱性

概要

Microsoft Windowsには、HTML HelpのActiveXコントロールにクロスドメインの脆弱性が存在しています。
これにより、遠隔から第三者により任意のコマンドを実行される可能性があります。

影響を受けるシステム

  • Windows 98, Me, 2000, XP, および Server 2003
  • Internet Explorer 5.x and 6.x
  • その他のMSHTMLを使用したウインドウズプログラム

詳細情報

想定される影響


遠隔から第三者により任意のコードやコマンドを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA05-012Bに対する富士通の情報
富士通 TA05-012Bに対するSolaris OEの情報
マイクロソフト HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001)

参考情報

  1. Cyber Security Alert SA05-012A
    Multiple Vulnerabilities in Microsoft Windows
  2. US-CERT Vulnerability Note VU#972415
    Microsoft Windows HTML Help ActiveX control does not adequately validate window source

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA05-012B
Microsoft Windows HTML Help ActiveX Contol Cross-Domain Vulnerability
CPNI Advisory
TRnotes
CVE CAN-2004-1043
JVN iPedia