公開日:2003/08/27 最終更新日:2003/08/27

JVNCA-2003-22
Microsoft Internet Explorer に複数の脆弱性

概要


Microsoft Internet Explorer には BR549.DLL のバッファオーバーラン、マイコンピュータゾーンでのブラウザのキャッシュのスクリプトの実行、オブジェクトタグの脆弱性などの複数の脆弱性が存在します。
脆弱性については遠隔から任意のコードを実行される可能性があり、第三者はこの脆弱性を悪用して、ユーザが悪質な Web ページにアクセスした際、あるいは、悪質な HTML 形式の電子メールメッセージを開いた際に、任意のコマンドやコードを実行する可能性があります。

影響を受けるシステム

  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 for Windows Server 2003

詳細情報

想定される影響

第三者が脆弱なシステム上のユーザ権限で任意のコードを実行する可能性があります。また、ウイルス、ワーム、その他の悪質なコードを流布させる際に利用する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2003-22に対する富士通の情報
富士通 CA-2003-22に対するSolaris OEの情報
マイクロソフト Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)

参考情報

  1. CERT Vulnerability Note VU#205148
    Microsoft Internet Explorer does not properly evaluate Content-Type and Content-Disposition headers
  2. CERT Vulnerability Note VU#865940
    Microsoft Internet Explorer does not properly evaluate "application/hta" MIME type referenced by DATA attribute of OBJECT element
  3. CERT Vulnerability Note VU#548964
    Microsoft Windows BR549.DLL ActiveX control contains vulnerability
  4. CERT Vulnerability Note VU#813208
    Internet Explorer does not properly render input type tag
  5. CERT Vulnerability Note VU#334928
    Microsoft Internet Explorer contains buffer overflow in Type attribute of OBJECT element on double-byte character set systems
  6. CIAC Bulletin N-135
    Microsoft Cumulative Patch for Internet Explorer
  7. ISS X-Force Database: ie-object-code-execution (12960)
    Microsoft Internet Explorer Object Data tags could allow an attacker to execute code
  8. ISS X-Force Database: ie-cache-script-injection (12961)
    Microsoft Internet Explorer browser cache script injection
  9. ISS X-Force Database: ie-br549-activex-bo (12962)
    Microsoft Internet Explorer BR549.DLL ActiveX control buffer overflow
  10. ISS X-Force Database: ie-xmlobject-code-execution (13300)
    Microsoft Internet Explorer XML Web page containing Object Data tags could allow an attacker to execute code
  11. ISS X-Force Database: ie-popup-code-execution (13314)
    Microsoft Internet Explorer popup window containing Object Data tags could allow an attacker to execute code
  12. 警察庁
    マイクロソフト社 Internet Explorerの累積的な修正プログラムについて(MS03-032)
  13. LAC
    CERT Advisory CA-2003-22 Multiple Vulnerabilities in Microsoft Internet Explorer [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2003-3401
JPCERT/CC REPORT 2003-08-27
CERT Advisory CERT Advisory CA-2003-22
Multiple Vulnerabilities in Microsoft Internet Explorer
CPNI Advisory
TRnotes
CVE CAN-2003-0530
VU#548964,XF12962
JVN iPedia