公開日:2002/11/19 最終更新日:2002/11/19

JVNCA-2002-04
Microsoft Internet Explorer にバッファオーバーフローの脆弱性

概要

Microsoft Internet Explorer には タグの SRC 属性の処理にバッファオーバーフローの脆弱性が存在します。
第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコードを実行する可能性があります。

この問題は、Outlook や Outlook Express のように HTML の解釈に Internet Explorer の機能を使用しているソフトウェアを使う際にも発生します。

影響を受けるシステム

詳細情報

想定される影響

第三者が脆弱なシステム上のユーザ権限で任意のコードを実行する可能性があります。また、ウイルス、ワーム、その他の悪質なコードを流布させる際に利用する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2002-04に対する富士通の情報
富士通 CA-2002-04に対するSolaris OEの情報
マイクロソフト 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム (MS02-005)

参考情報

  1. CERT Vulnerability Note VU#932283
    Microsoft Internet Explorer HTML rendering engine contains buffer overflow processing SRC attribute of HTML <EMBED> directive
  2. CIAC Bulletin M-041
    Microsoft Internet Explorer Cumulative Patch
  3. V-STAF: ie-html-directive-bo (8116)
    Internet Explorer の HTML の <EMBED> 指示語( mshtml.dll )によるバッファオーバーフロー
  4. ラック
    CERT Advisory CA-2002-04 Buffer Overflow in Microsoft Internet Explorer [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-0901
JPCERT/CC REPORT 2002-03-06
CERT Advisory CERT Advisory CA-2002-04
Buffer Overflow in Microsoft Internet Explorer
CPNI Advisory
TRnotes
CVE CVE-2002-0022
VU#932283,XF8116
JVN iPedia