公開日:2005.01.15 17:41 最終更新日:2005.01.15 17:41

TRTA05-012B
Microsoft WindowsでHTML HelpのActiveXコントロールにクロスドメインの脆弱性

概要


Microsoft Windowsには、HTML HelpのActiveXコントロールにクロスドメインの脆弱性が存在しています。
これにより、遠隔から第三者により任意のコマンドを実行される可能性があります。

影響を受けるシステム
 - Windows 98, Me, 2000, XP, および Server 2003
 - Internet Explorer 5.x and 6.x
 - その他のMSHTMLを使用したウインドウズプログラム

時系列イベント


日時 (JST)内容
2004-11-28 08:22 Bugtraq に VU#972415/MS05-001)」に関する報告 "Microsoft Help ActiveX Control Related Topics Local Content Accessing Vulnerability" が投稿される
#Cid: longnamevuln.htm
#Tested: Windows XP + SP2
#Post-Date: Nov 27 2004 11:22PM
2004-12-26 05:31 Bugtraq に VU#972415/MS05-001 攻略に関して "Microsoft Internet Explorer SP2 Fully Automated Remote Compromise" が投稿される
#Cid: sp2rc.htm
#Cid: writehta.txt
#Cid: 20041225.IEXPSP2RC
#Cid: MSXPSP2-ieEXP.txt
#Tested: Windows XP + SP2
#Post-Date: Dec 25 2004 8:31PM
2004-12-26 14:07 Full-Disclosure に VU#972415/MS05-001 攻略に関して "YEY AGAIN Automatic remote compromise ofInternetExplorer Service Pack 2 XP SP2" が投稿される
#Cid: index.html
#Cid: writehta.txt
#Post-Date: Sun Dec 26 00:07:22 EST 2004
2004-12-28 09:36 Full-Disclosure に VU#972415/MS05-001 攻略に関して "Remote code execution with parameters without user interaction, even with XP SP2" が投稿される
#Cid: htm.htm
#Cid: htm.txt
#Cid: CMDExe.txt
#Cid: 20041228.CMDExe
#Tested: Windows XP + SP2
#Post-Date: Mon Dec 27 19:36:07 EST 2004
2005-01-12 04:19 MS メーリングリスト経由で マイクロソフト セキュリティ情報 2005 年 1 月のセキュリティ情報 が届く
#Post-Date: Tue, 11 Jan 2005 11:19:28 -0800
2005-01-12 07:46 @police マイクロソフト社のセキュリティ修正プログラムについて(MS05-001,002,003) (1/12) を Web 公開
#Last-Modified: Tue, 11 Jan 2005 22:46:22 GMT
2005-01-13 12:44 US-CERT メーリングリスト経由で TA05-012B が届く
#Post-Date: Wed, 12 Jan 2005 22:44:40 -0500

参考情報


  1. Technical Cyber Security Alert TA05-012B
    Microsoft Windows HTML Help ActiveX Contol Cross-Domain Vulnerability
  2. Vendor Status Note JVNTA05-012B
    Microsoft WindowsでHTML HelpのActiveXコントロールにクロスドメインの脆弱性