公開日:2006/09/16 最終更新日:2006/09/16

JVNVU#377369
Microsoft DirectAnimation パス ActiveX コントロールにおける入力値未チェックの脆弱性

概要


Microsoft DirectAnimation パスは ActiveX コントロールの一種で、InternetExplorer ではウェブページ内において任意のオブジェクトを動かすために使われます。
この ActiveX コントロールでは、入力値の検査が不十分であるため、呼び出したプログラムが異常終了したり、任意のコードを実行される可能性があります。

影響を受けるシステム


  • Windows 2000
    • Windows XP
    • Windows Server 2003


      • 詳しくはベンダが提供する情報をご参照ください

    詳細情報

    想定される影響


    遠隔の第三者によって細工された HTML ドキュメント(ウェブページ、HTML 形式のメール、添付ファイルなど)を閲覧することにより、ユーザの権限で任意のコードを実行される可能性があります。

    対策方法


    2006/09/16 現在、修正パッチは提供されていません。
    回避策として、ActiveX コントロールを実行されないようにする方法があります。詳しくは、ベンダが提供する情報を参照してください。

    ベンダ情報

    ベンダ リンク
    マイクロソフト セキュリティ アドバイザリ (925444) Microsoft DirectAnimation パスの ActiveX コントロールの脆弱性により、リモートでコードが実行される
    マイクロソフト サポート オンライン Internet Explorer で ActiveX コントロールの動作を停止する方法

    参考情報

    1. Vulnerability Note VU#377369
      Microsoft DirectAnimation Path ActiveX control fails to validate input

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CVE-2006-4777
    VU#377369
    JVN iPedia