JVNDB-2010-001156

Internet Explorer において VBScript および Windows Help を使用する際に任意のコードが実行される脆弱性

Microsoft Internet Explorer において VBScript および Windows Help を使用する際に、任意のコードが実行される脆弱性が存在します。

Microsoft Internet Explorer は、VBScript や JavaScript 等のスクリプト言語に対応しています。MsgBox 機能等の VBScript コマンドでは、ヘルプファイルを指定することができます。 細工された HTML 文書（ウェブページ、HTML メール、メールに添付されたファイル等）を閲覧し、 [F1] キーを押すことで、任意のコードを実行される可能性があります。

なお、本脆弱性に対する攻撃コードが公開されています。

マイクロソフト

• Microsoft Internet Explorer
• Microsoft Windows 2000
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 (itanium) 
• Microsoft Windows Server 2003 (x64) 
• Microsoft Windows XP sp3 
• Microsoft Windows XP (x64) 

遠隔の第三者によって、アプリケーションを使用しているユーザの権限で任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

マイクロソフト

• Microsoft Corporation : MsgBox
• Microsoft Corporation : MSRC Investigating a new win32hlp and Internet Explorer issue
• Microsoft Security Advisory : 981169
• Microsoft Security Bulletin : MS10-022
• マイクロソフト セキュリティ アドバイザリ : 981169
• マイクロソフト セキュリティ情報 : MS10-022
• 絵でみるセキュリティ情報 : MS10-022e

富士通

• 富士通 セキュリティ情報 : TA10-103A

1. コード・インジェクション(CWE-94) [NVD評価]

1. CVE-2010-0483

1. JVN : JVNVU#612021
2. JVN : JVNTA10-103A
3. JVN Status Tracking Notes : JVNTR-2010-08
4. JVN Status Tracking Notes : JVNTR-2010-11
5. National Vulnerability Database (NVD) : CVE-2010-0483
6. JPCERT 緊急報告 : JPCERT-AT-2010-0008
7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて (MS10-019,020,021,022,023,024,025,026,027,028,029)
8. US-CERT Cyber Security Alerts : SA10-103A
9. US-CERT Vulnerability Note : VU#612021
10. US-CERT Technical Cyber Security Alert : TA10-103A
11. Secunia Advisory : SA38727
12. SecurityFocus : 38463
13. ISS X-Force Database : 56558
14. SecurityTracker : 1023668
15. VUPEN Security : VUPEN/ADV-2010-0485
16. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 62632

• [2010年03月17日]
    掲載
  [2010年05月12日]
    対策：対策方法の記述を更新
    ベンダ情報：マイクロソフト (MS10-022) を追加