公開日:2006/03/25 最終更新日:2006/03/25

JVNVU#876678
Microsoft Internet Explorer の createTextRange() に関する脆弱性

概要


Microsoft Internet Explorer には、DHTML メソッド createTextRange() の処理に脆弱性が存在します。

影響を受けるシステム

  • 詳しくはベンダの提供する情報をご確認ください

    2006年3月25日現在、ベンダからはパッチの提供準備中であることが表明されています。また、この脆弱性を悪用するエクスプロイトコードが既に公開されています。

    完全な回避策は不明ですが、この脆弱性の影響を低減させる対策として、

    ・Windows の使用時には管理者権限を持たない一般ユーザのアカウントを平素から使う
    ・Internet Explorer の設定でアクティブスクリプト機能を無効にする

    などの対策が推奨されています。詳しくはベンダの提供する情報をご確認ください。


詳細情報

想定される影響


Web サイトの媒体を通じて HTML ドキュメントを閲覧することにより、ユーザの権限で任意のコードが実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
マイクロソフト マイクロソフト セキュリティ アドバイザリ (917077)
Microsoft Microsoft Security Advisory (917077)

参考情報

  1. US-CERT Vulnerability Note VU#876678
    Microsoft Internet Explorer createTextRange() vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2006-1359
VU#876678
JVN iPedia