【活用ガイド】

JVNDB-2010-001058

Microsoft Internet Explorer において任意のコードが実行される脆弱性

概要

Microsoft Internet Explorer には、任意のコードが実行される脆弱性があります。

Microsoft Internet Explorer には、削除されたオブジェクトへの不正なポインタ参照をすることに起因する任意のコードが実行される脆弱性が存在します。

2010年1月15日現在、本脆弱性を使用した攻撃活動が観測されています。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 7
  • Microsoft Internet Explorer 8
  • Microsoft Windows 2000
  • Microsoft Windows 7 (x32) 
  • Microsoft Windows 7 (x64) 
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 (itanium) 
  • Microsoft Windows Server 2003 (x64) 
  • Microsoft Windows Server 2008 (x86) 
  • Microsoft Windows Server 2008 (itanium) 
  • Microsoft Windows Server 2008 (x64) 
  • Microsoft Windows Server 2008 r2(itanium) 
  • Microsoft Windows Server 2008 r2(x64) 
  • Microsoft Windows Vista
  • Microsoft Windows Vista (x64) 
  • Microsoft Windows XP sp3 
  • Microsoft Windows XP (x64) 

想定される影響

細工された HTML ドキュメントを閲覧することにより、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
対策

[アップデートする]
Microsoft が提供する情報をもとにアップデートを行ってください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

・[インターネット] ゾーンのセキュリティ設定を "高" にする
・[インターネット] および [ローカル イントラネット] ゾーンのセキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する
・Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする
・Microsoft Office で ActiveX コントロールを無効にする
ベンダ情報

マイクロソフト
  • Microsoft Security Advisory : 979352
  • Microsoft Security Bulletin : MS10-002
  • マイクロソフト セキュリティ アドバイザリ : 979352
  • マイクロソフト セキュリティ情報 : MS10-002
  • 絵でみるセキュリティ情報 : MS10-002e
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-0249
参考情報

  1. JVN : JVNVU#492515
  2. JVN : JVNTA10-021A
  3. JVN Status Tracking Notes : JVNTR-2010-04
  4. JVN Status Tracking Notes : JVNTR-2010-06
  5. National Vulnerability Database (NVD) : CVE-2010-0249
  6. JPCERT 緊急報告 : JPCERT-AT-2010-0004
  7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS10-002)
  8. US-CERT Cyber Security Alerts : SA10-021A
  9. US-CERT Vulnerability Note : VU#492515
  10. US-CERT Technical Cyber Security Alert : TA10-021A
  11. US-CERT Technical Cyber Security Alert : TA10-055A
  12. IPA 緊急対策情報 : 20100122-ms10-002
  13. Secunia Advisory : SA38209
  14. SecurityFocus : 37815
  15. ISS X-Force Database : 55642
  16. SecurityTracker : 1023462
  17. VUPEN Security : VUPEN/ADV-2010-0135
  18. VUPEN Security : VUPEN/ADV-2010-0187
  19. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 61697
更新履歴

  • [2010年02月19日]
      掲載