公開日:2006/01/27 最終更新日:2006/01/27

JVNVU#998297
Internet Explorer に ActiveX Control の Kill bit 確認を回避できる脆弱性

概要


Microsoft の Internet Explorer には、レジストリに格納されている ActiveX control の Kill bit の確認を回避できる脆弱性があります。これにより、あらかじめ Kill bit を操作し、ActiveX control を無効化したシステムにおいても、任意のコードを実行される可能性があります。

影響を受けるシステム

  • Internet Explorer
    詳しくはベンダの提供する情報をご確認ください。

詳細情報

想定される影響


巧妙に細工された、web page や HTML e-mail メッセージなどの HTML document を閲覧することにより、ユーザの権限で任意のコード実行がされる可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)
Microsoft Internet Explorer で ActiveX コントロールの動作を停止する方法

参考情報

  1. US-CERT Vulnerability Note VU#998297
    Microsoft Internet Explorer does not honor ActiveX kill bit

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2006-0057
JVN iPedia