公開日:2009/11/25 最終更新日:2010/05/21

JVNVU#515749
Microsoft Internet Explorer に脆弱性
緊急

概要

Microsoft Internet Explorer には、CSS の Style オブジェクトの参照に起因する脆弱性が存在します。

影響を受けるシステム

  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 7

なお、Microsoft Internet Explorer 8 および Microsoft Internet Explorer 5.01 Service Pack 4 は、本脆弱性の影響を受けません。

詳細情報

Microsoft Internet Explorer には、CSS の Style オブジェクトの参照に起因する脆弱性が存在します。

詳しくは、マイクロソフトセキュリティアドバイザリ(977981) を参照してください。

想定される影響

細工された HTML ドキュメントを閲覧した場合に、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

2009年11月25日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • アクティブスクリプトを無効にする
  • DEP (Data Execution Prevention) を有効にする

参考情報

  1. US-CERT Vulnerability Note VU#515749
    Microsoft Internet Explorer CSS style element vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2009.11.25における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-3672
JVN iPedia JVNDB-2009-002408

更新履歴

2009/11/26
関連文書の CVE のリンクを更新しました。
2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。