公開日:2008/12/18 最終更新日:2015/10/21

JVNTA08-352A
Microsoft Internet Explorer のデータバインディング処理における脆弱性
緊急

概要

Microsoft Internet Explorer には、データバインディング処理の中に不正ポインタを参照する脆弱性が存在します。

影響を受けるシステム

  • Microsoft Internet Explorer
  • Microsoft Outlook Express

その他、Internet Explorer コンポーネントを使用する製品も影響を受ける可能性があります。

詳細情報

Microsoft Internet Explorer には、データバインディング処理の中に不正ポインタを参照する脆弱性が存在します。Internet Explorer がデータバインディングを行うドキュメントの処理をする際に Internet Explorer をクラッシュさせ、任意のコードを実行される可能性があります。Outlook Express のように Internet Explorer の MSHTML レイアウトエンジンを使用している製品も同様な影響を受ける可能性があります。
なお、本脆弱性に関する実証コードが既に公開されています。

想定される影響

遠隔の第三者によって、細工されたデータバインディングを行うドキュメント (ウェブページやメールの添付ファイルなど) を閲覧した際に、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
マイクロソフトの提供する情報をもとにアップデートを行なってください。

参考情報

  1. US-CERT Vulnerability Note VU#493881
    Microsoft Internet Explorer data binding memory corruption vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA08-352A
Microsoft Internet Explorer Data Binding Vulnerability
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2008/12/18
記載内容の誤植を修正しました。
2008/12/18
記載内容の誤植を修正しました。
2008/12/18
ベンダ情報に富士通のリンクを追加しました。
2008/12/25
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました