公開日:2006/09/28 最終更新日:2007/01/16

JVNTA06-270A
Microsoft Internet Explorer の ActiveX コントロール WebViewFolderIcon に脆弱性

概要


Microsoft Windows の ActiveX コントロール WebViewFolderIcon には、整数の扱いに関するバッファオーバーフローの脆弱性が存在します。

この脆弱性を使用した攻撃コードの存在が報告されています。

影響を受けるシステム


  • Microsoft Windows


詳しくは、ベンダの提供する情報をご確認ください。

詳細情報

想定される影響


遠隔の第三者によって巧妙に細工された Web ページやHTML 形式のメールなどを閲覧することによりユーザの権限で任意のコードを実行される可能性があります。

対策方法


2006/09/28 現在、修正パッチは提供されていません。回避策として、kill bit を設定して ActiveX コントロールを無効にする、スクリプトを無効にする、テキスト形式でメールを閲覧する、信頼できないリンク先は参照しないなどの方法があります。

2006/10/11 にマイクロソフトから修正パッチが提供されました(MS06-057)。
詳しくは、ベンダの提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Microsoft Microsoft Security Bulletin MS06-057: Vulnerability in Windows Explorer Could Allow Remote Execution (923191)
マイクロソフト Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057)
Microsoft サポート オンライン Internet Explorer で ActiveX コントロールの動作を停止する方法
富士通 TA06-270Aに対する富士通の情報

参考情報

  1. US-CERT Vulnerability Note VU#753044
    Microsoft Windows WebViewFolderIcon ActiveX integer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
NISCC Advisory
TRnotes
CVE CVE-2006-3730 VU#753044

更新履歴

2006/09/28
ベンダ情報:富士通の情報を追加しました。
2007/01/16
ベンダ情報:マイクロソフトの情報を追加しました。
概要の記述を更新しました。