公開日:2006/11/06 最終更新日:2006/11/15

JVNVU#585137
Microsoft XMLHTTP ActiveX コントロールの脆弱性

概要


Microsoft XML Core Services 4.0 に含まれる XMLHTTP 4.0 ActiveX コントロールには脆弱性があります。結果として、遠隔の第三者により任意のコードを実行される可能性があります。なお、この問題が実際に攻撃に使われていることが報告されています。

2006/11/06 現在、修正パッチは提供されていません。

回避策として、当該 ActiveX コントロールを実行されないようにする、ActiveX コントロールやアクティブスクリプトの実行時にダイアログを表示するか無効にする、などの方法があります。詳しくはベンダの提供する情報をご参照ください。

2006/11/15 現在、マイクロソフトから修正パッチが提供されています。
詳しくは、ベンダの提供する情報をご確認ください。

影響を受けるシステム

詳細情報

想定される影響


巧妙に細工された web ページや HTML 形式のメールなどを閲覧することにより、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Microsoft マイクロソフトセキュリティアドバイザリ (927892): XML コアサービスの脆弱性により、リモートでコードが実行される
Microsoft Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (928088)(MS06-071)

参考情報

  1. Vulnerability Note VU#585137
    Microsoft XML Core Services XMLHTTP ActiveX control vulnerability
  2. @police
    マイクロソフト社の Microsoft XML コアサービスの脆弱性について(11/5)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2006-0018
JPCERT/CC Alert 2006-11-06, Microsoft XML コアサービスに未修正の脆弱性
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia