公開日:2010/03/02 最終更新日:2010/03/02

JVNVU#612021
Internet Explorer において VBScript および Windows Help を使用する際に任意のコードが実行される脆弱性
緊急

概要

Microsoft Internet Explorer において VBScript および Windows Help を使用する際に、任意のコードが実行される脆弱性が存在します。

影響を受けるシステム

  • Microsoft Internet Explorer
  • Microsoft Windows 2000
  • Windows XP
  • Windows Server 2003

    • 詳しくは、Microsoft が提供する情報をご確認ください。

詳細情報

Microsoft Internet Explorer は、VBScript や JavaScript 等のスクリプト言語に対応しています。MsgBox 機能等の VBScript コマンドでは、ヘルプファイルを指定することができます。

細工された HTML 文書(ウェブページ、HTML メール、メールに添付されたファイル等)を閲覧し、 [F1] キーを押すことで、任意のコードを実行される可能性があります。

なお、本脆弱性に対する攻撃コードが公開されています。

想定される影響

遠隔の第三者によって、アプリケーションを使用しているユーザの権限で任意のコードを実行される可能性があります。

対策方法

2010年3月2日現在、対策方法はありません。

ワークアラウンドを実施する
Microsoft が提供する Microsoft Security Advisory 981169 には、複数の回避策が掲載されています。これら回避策を適用することで、本脆弱性の影響を軽減することが可能です。

詳しくは、Microsoft が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Microsoft Microsoft Security Advisory (981169) Vulnerability in VBScript Could Allow Remote Code Execution
マイクロソフト セキュリティ アドバイザリ (981169) VBScript の脆弱性により、リモートでコードが実行される
MSRC Investigating a new win32hlp and Internet Explorer issue

参考情報

  1. US-CERT Vulnerability Notes VU#612021
    Internet Explorer VBScript Windows Help arbitrary code execution

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.03.02における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 設定の変更など、積極的なユーザ動作が必要
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-0483
JVN iPedia

更新履歴

2010/03/02
ベンダ情報:ベンダ情報にリンクを追加しました。