パスワードを忘れた? アカウント作成
778033 submission
インターネットエクスプローラ

IEとOEに任意コマンド起動の欠陥

タレコミ by jbeef
jbeef 曰く、
さきほどBUGTRAQに流れた情報によると、 Windows版Internet Explorerに、ローカルにある任意のコマンドを起動できるセキュリティホールが見つかったとのこと。cmd.exeやtftp.exeを起動するなどすれば、ありとあらゆる悪さができてしまう。ウィルスに応用される危険性も現実的と思われる。 これはIEをHTMLメール表示に使用している、Outlook、Outlook Express等も同様に影響される。 発見者の説明にあるように、OBJECTタグのCODEBASE属性にコマンドのパス名を指定するだけで動いてしまうため、セキュリティ設定でアクティブスクリプトやActiveXを無効にしていても動いてしまう。これはかなり深刻だ。

先月発覚した、ソニーVAIOのセキュリティホールも任意のコマンドを起動できてしまう問題だった。このときは、ソニーは、それを深刻な問題と受け止め、責任を持ってユーザへの告知を徹底して行ってくれたが、今回のように、OEMとして販売しているWindowsに同等以上の欠陥が見つかった場合にも、パソコン販売メーカーは、同じようにユーザへの告知を徹底すべきではないだろうか。

typodupeerror

人生unstable -- あるハッカー

読み込み中...