公開日:2008/12/11 最終更新日:2009/06/26

JVNVU#493881
Microsoft Internet Explorer のデータバインディング処理における脆弱性
緊急

概要

Microsoft Internet Explorer にはデータバインディング処理において脆弱性が存在します。 結果として、遠隔の第三者によって任意のコードを実行される可能性があります。

影響を受けるシステム

  • Microsoft Internet Explorer
    対象となる製品は広範囲に及びます。
    詳しくは、ベンダが提供する情報をご確認ください。

詳細情報

Microsoft Internet Explorer にはデータバインディング処理において脆弱性が存在します。細工された XML コンテンツなどを処理する際に IE がクラッシュする事が確認されています。
なお、本脆弱性に関する実証コードが既に公開されています。

想定される影響

遠隔の第三者によって、細工されたドキュメント (ウェブページや HTML メールなど) へと誘導されることにより、ユーザの権限で任意のコマンドを実行される可能性があります。

対策方法

アップデートする
2008年12月18日に本件への対策を行ったパッチが公開されました。マイクロソフトが提供する情報をもとにパッチを適用してください。

なお、パッチを適用できない場合、マイクロソフトが提供する回避策情報をご確認ください。

ベンダ情報

ベンダ リンク
マイクロソフト マイクロソフト セキュリティ アドバイザリ (961051)
マイクロソフト セキュリティ情報 MS08-078 - 緊急
MS08-078 - Internet Explorer 用のセキュリティ更新プログラム

参考情報

  1. US-CERT Vulnerability Note VU#493881
    Microsoft Internet Explorer data binding memory corruption vulnerability
  2. Securing Your Web Browser
    Securing Your Web Browser

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-4844
JVN iPedia JVNDB-2008-002205

更新履歴

2008/12/12
IE7 に限定した記述と参考情報を修正しました。
2008/12/18
IE7 に限定した記述と参考情報を修正しました。
2008/12/18
対策方法およびベンダ情報を追加・更新しました。
2008/12/18
対策方法およびベンダ情報を追加・更新しました。
2008/12/18
対策方法およびベンダ情報を追加・更新しました。
2008/12/18
対策方法およびベンダ情報を追加・更新しました。
2008/12/18
対策方法およびベンダ情報を追加・更新しました。
2009/06/26
関連文書に JVN iPedia へのリンクを追加しました。