公開日:2006/09/28 最終更新日:2015/10/21

JVNTA06-270A
Microsoft Internet Explorer の ActiveX コントロール WebViewFolderIcon に脆弱性

概要


Microsoft Windows の ActiveX コントロール WebViewFolderIcon には、整数の扱いに関するバッファオーバーフローの脆弱性が存在します。

この脆弱性を使用した攻撃コードの存在が報告されています。

影響を受けるシステム


  • Microsoft Windows


    • 詳しくは、ベンダの提供する情報をご確認ください。

    詳細情報

    想定される影響


    遠隔の第三者によって巧妙に細工された Web ページやHTML 形式のメールなどを閲覧することによりユーザの権限で任意のコードを実行される可能性があります。

    対策方法


    2006/09/28 現在、修正パッチは提供されていません。回避策として、kill bit を設定して ActiveX コントロールを無効にする、スクリプトを無効にする、テキスト形式でメールを閲覧する、信頼できないリンク先は参照しないなどの方法があります。

    2006/10/11 にマイクロソフトから修正パッチが提供されました(MS06-057)。
    詳しくは、ベンダの提供する情報をご確認ください。

    ベンダ情報

    ベンダ リンク
    Microsoft Microsoft Security Bulletin MS06-057: Vulnerability in Windows Explorer Could Allow Remote Execution (923191)
    マイクロソフト Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057)
    Microsoft サポート オンライン Internet Explorer で ActiveX コントロールの動作を停止する方法
    富士通 TA06-270Aに対する富士通の情報

    参考情報

    1. US-CERT Vulnerability Note VU#753044
      Microsoft Windows WebViewFolderIcon ActiveX integer overflow

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory Technical Cyber Security Alert TA06-270A
    Microsoft Internet Explorer WebViewFolderIcon ActiveX Vulnerability
    CPNI Advisory
    TRnotes
    CVE CVE-2006-3730
    VU#753044
    JVN iPedia

    更新履歴

    2015/10/21
    ベンダ情報を更新しました