公開日:2006/09/20 最終更新日:2015/10/21

JVNTA06-262A
Microsoft Internet Explorer の VML 処理にバッファオーバーフローの脆弱性

概要


Microsoft Internet Explorer には VML (Vector Markup Language) を適切に扱うことができないためバッファオーバーフローの脆弱性が存在します。

この脆弱性を使用した攻撃活動が報告されています(米 CERT/CC VU#416092)。

影響を受けるシステム


  • Microsoft Internet Explorer


    • 詳しくは、ベンダの提供する情報をご確認ください。

    詳細情報


    2006/09/20 現在、修正パッチは提供されていません。回避策として、Internet Explorer の VML 機能を無効にする、テキスト形式でメールを閲覧する、信頼できないリンク先は参照しないなどの方法があります。

    2006/09/27 現在、マイクロソフトから修正パッチが提供されています。
    詳しくは、ベンダの提供する情報をご確認ください。

    想定される影響


    遠隔の第三者によって巧妙に細工された Web ページや HTML 形式のメールなどを開くことにより任意のコードを実行される可能性があります。

    対策方法

    ベンダ情報

    ベンダ リンク
    マイクロソフト セキュリティ アドバイザリ (925568) Vector Markup Language の脆弱性により、リモートでコードが実行される
    マイクロソフト セキュリティ情報 Vector Markup Language の脆弱性により、リモートでコードが実行される (925486) (MS06-055)
    Microsoft Vulnerability in Vector Markup Language Could Allow Remote Code Execution
    Microsoft Security Bulletin Vulnerability in Vector Markup Language Could Allow Remote Code Execution (925486)
    富士通 TA06-262Aに対する富士通の情報

    参考情報

    1. US-CERT Vulnerability Note VU#416092
      Microsoft Internet Explorer VML stack buffer overflow
    2. Microsoft
      Microsoft Update

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory Technical Cyber Security Alert TA06-262A
    TA06-262AMicrosoft Internet Explorer VML BufferOverflow
    CPNI Advisory
    TRnotes
    CVE CVE-2006-4868
    VU#416092
    JVN iPedia

    更新履歴

    2015/10/21
    ベンダ情報を更新しました