公開日:2010/08/09 最終更新日:2010/11/05

JVNVU#174089
Oracle Siebel Option Pack for IE の ActiveX コントロールのメモリ初期化処理に脆弱性

概要

Oracle Siebel Option Pack for IE の ActiveX コントロールには、メモリを適切に初期化しない脆弱性が存在します。

影響を受けるシステム

  • Oracle Siebel Option Pack for IE

詳細情報

Siebel Option Pack for IE は、Oracle Siebel Customer Relationship Management (CRM) software によって提供される ActiveX コントロールです。Siebel Option Pack for IE の ActiveX コントロールは、ファイル名が ieop_aom で始まる様々な DLL によって提供されています。この ActiveX コントロールには、NewBusObi() メソッドが使用するメモリを適切に初期化しない脆弱性が存在します。

想定される影響

細工された HTML を閲覧することで、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
Oracle が提供している Oracle Critical Patch Update Advisory - October 2010 をもとにアップデートを行ってください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • ActiveX コントロールを無効にする

ベンダ情報

ベンダ リンク
Oracle Oracle Critical Patch Update Advisory - October 2010

参考情報

  1. US-CERT Vulnerability Note VU#174089
    Oracle Siebel Option Pack for IE ActiveX control memory initialization vulnerability
  2. Internet Explorer で ActiveX コントロールの動作を停止する方法
    マイクロソフト サポート ドキュメント 240797

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-3737
JVN iPedia JVNDB-2010-001895

更新履歴

2010/10/15
対策方法およびベンダ情報を更新しました。
2010/11/05
関連文書に JVN iPedia へのリンクを追加しました。