公開日:2010/01/15 最終更新日:2010/05/21

JVNVU#492515
Microsoft Internet Explorer において任意のコードが実行される脆弱性
緊急

概要

Microsoft Internet Explorer には、任意のコードが実行される脆弱性があります。

影響を受けるシステム

  • Microsoft Internet Explorer

詳細情報

Microsoft Internet Explorer には、削除されたオブジェクトへの不正なポインタ参照をすることに起因する任意のコードが実行される脆弱性が存在します。

2010年1月15日現在、本脆弱性を使用した攻撃活動が観測されています。

想定される影響

細工された HTML ドキュメントを閲覧することにより、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。

対策方法

アップデートする
Microsoft が提供する情報をもとにアップデートを行ってください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • [インターネット] ゾーンのセキュリティ設定を "高" にする
  • [インターネット] および [ローカル イントラネット] ゾーンのセキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する
  • Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする
  • Microsoft Office で ActiveX コントロールを無効にする

ベンダ情報

ベンダ リンク
Microsoft Microsoft Security Advisory (979352)
マイクロソフト セキュリティ アドバイザリ (979352)
マイクロソフト セキュリティ情報 MS10-002 - 緊急
Microsoft Security Bulletin MS10-002 - Critical
Enable or disable ActiveX controls in Office documents

参考情報

  1. US-CERT Vulnerability Note VU#492515
    Microsoft Internet Explorer HTML object memory corruption vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.01.15における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-0249
JVN iPedia JVNDB-2010-001058

更新履歴

2010/01/15
ベンダ情報にリンクを追加しました。
2010/01/22
対策方法を更新し、ベンダ情報にリンクを追加しました。
2010/01/22
対策方法を更新し、ベンダ情報にリンクを追加しました。
2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。