フランスのセキュリティベンダーFrSIRTは3日、Internet Explorer(IE)に新たな未修正の脆弱性2件が見つかったと発表した。発表の中で「HTMLヘルプの脆弱性」と、「ADO(ActiveX Data Object)の脆弱性」について警告している。
「HTMLヘルプの脆弱性」は、HTMLヘルプ(Windows標準のヘルプシステム)の機能を提供するActiveXコントロール“HHCtrl.ocx”のヒープオーバフローによるもの。この脆弱性を悪用されると、IEがクラッシュする可能性や、リモートでコードが実行される恐れがある。その結果、システムが乗っ取られてコントロールされる可能性もある。FrSIRTはこの脆弱性の危険度を、最も高い「critical」としている。
「ADO(ActiveX Data Object)の脆弱性」は、ADOのライブラリである“msado15.dll”のNULLポインタ参照エラーによるもので、悪用されるとIEがクラッシュする可能性がある。
現在、影響が確認されているのは、IE6とIE5.01 Service Pack(SP)4。
いずれの脆弱性も実証コードが公開されており、発見者は今年3月に米マイクロソフトに報告したとしている。
(2006/07/05 ネットセキュリティニュース)
■Microsoft Internet Explorer Data Access ActiveX Remote Denial of Service
Vulnerability - Exploit(FrSIRT)
http://www.frsirt.com/english/advisories/2006/2634
■Microsoft Internet Explorer HTML Help Control HHCtrl Memory Corruption
Vulnerability - Exploit(FrSIRT)
http://www.frsirt.com/english/advisories/2006/2635
■Internet Explorer HTML Help ActiveX Control Memory Corruption(Secunia)
http://secunia.com/advisories/20906/
【過去記事:ネットセキュリティニュース】
・「Internet Explorer 6」に新たな2件の脆弱性(2006/07/03)