MS08-070の修正プログラムは、以下の6件の脆弱性を解消する。
■マスク編集コントロールのメモリ破損の脆弱性
Internet Explorer(IE)でVisual Basic 6用のマスク編集のActiveXコントロールが利用された際、値を正しく処理せず、バッファ・オーバーフローが起こる。細工されたWebページを開いただけで、任意のコードが実行されてしまう危険性がある。なお、FrontPage
2002 SP3、Project 2003 SP3、Project 2007 SP未適用/SP1はこの脆弱性の影響を受けない。
この脆弱性は、すでに一般に公開されており、実証コードも広く公開されている。攻撃事例も報告されていることから注意が必要だ。
・milw0rm(Microsoft Visual Studio (Msmask32.ocx) ActiveX Remote Buffer Overflow
Exploit):
http://www.milw0rm.com/exploits/6317
■DataGridコントロールのメモリ破損の脆弱性
IEでVisual Basic 6用のDataGrid ActiveXコントロールが利用された際、正しく初期化されなかったActiveXコントロールのオブジェクトによってメモリ破損を引き起こす脆弱性が存在する。細工されたWebページを開いただけで、任意のコードが実行されてしまう危険性がある。なお、Visual
Studio .NET 2002 SP1、Visual Studio .NET 2003 SP1、FrontPage 2002 SP3、Project 2003
SP3、Project 2007 SP未適用/SP1はこの脆弱性の影響を受けない。
■FlexGridコントロールのメモリ破損の脆弱性
IEでVisual Basic 6用のFlexGrid ActiveXコントロールが利用された際、正しく初期化されなかったActiveXコントロールのオブジェクトによってメモリ破損を引き起こす脆弱性が存在する。細工されたWebページを開いただけで、任意のコードが実行されてしまう危険性がある。なお、Visual
Studio .NET 2002 SP1、Visual Studio .NET 2003 SP1、Project 2007 SP未適用/SP1はこの脆弱性の影響を受けない。
■階層FlexGridコントロールのメモリ破損の脆弱性
IEでVisual Basic 6用の階層FlexGrid ActiveXコントロールが利用された際、正しく初期化されなかったActiveXコントロールのオブジェクトによってメモリ破損を引き起こす脆弱性が存在する。細工されたWebページを開いただけで、任意のコードが実行されてしまう危険性がある。なお、Visual
Studio .NET 2002 SP1、Visual Studio .NET 2003 SP1、FrontPage 2002 SP3、Project 2003
SP3、Project 2007 SP未適用/SP1はこの脆弱性の影響を受けない。
■WindowsのコモンAVI解析のオーバーフローの脆弱性
Visual Basic 6用のWindowsのコモンActiveXコントロールにAVIファイルを解析する際の割り当てエラーに起因する脆弱性が存在する。細工されたAVIファイルを含むWebページを開くと、任意のコードが実行される危険性がある。なお、FrontPage
2002 SP3はこの脆弱性の影響を受けない。
■チャート・コントロールのメモリ破損の脆弱性
IEでVisual Basic 6用チャートActiveXコントロールが利用された際、正しく初期化されなかったActiveXコントロールのオブジェクトによってメモリ破損を引き起こす脆弱性が存在する。細工されたWebページを開いただけで、任意のコードが実行されてしまう危険性がある。なお、FrontPage
2002 SP3、Project 2003 SP3、Project 2007 SP未適用/SP1はこの脆弱性の影響を受けない。
|