公開日:2010/11/04 最終更新日:2010/11/04

JVNVU#899748
Microsoft Internet Explorer における無効なフラグ参照に起因する脆弱性
緊急

概要

Microsoft Internet Explorer には、無効なフラグ参照に起因する脆弱性が存在します。

影響を受けるシステム

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
詳しくは、Microsoft が提供する情報をご確認ください。

詳細情報

マイクロソフト セキュリティ アドバイザリ (2458511) によると、この脆弱性は、オブジェクトが削除された後にそのオブジェクトにアクセスできることによる、無効なフラグ参照に起因するとのことです。

想定される影響

細工された HTML ドキュメントをユーザに閲覧させることで、ユーザの権限で任意のコードが実行される可能性があります。

対策方法

2010年11月4日現在、対策方法はありません。

ワークアラウンドを実施する

Microsoft によると、回避策を適用することで、本脆弱性の影響を軽減することが可能とされています。

回避策の詳細については、マイクロソフト セキュリティ アドバイザリ (2458511) をご確認ください。

参考情報

  1. US-CERT Vulnerability Note VU#899748
    Microsoft Internet Explorer invalid flag reference vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.11.04における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-3962
JVN iPedia