JPCERT コーディネーションセンター

Microsoft XML コアサービスに未修正の脆弱性(更新)

各位


JPCERT-AT-2006-0018
JPCERT/CC
2006-11-06(初版)
2006-11-15(更新)

JPCERT/CC Alert 2006-11-06


Microsoft XML コアサービスに未修正の脆弱性

Microsoft XML Core Services vulnerability

http://www.jpcert.or.jp/at/2006/at060018.txt

I. 概要

Microsoft XML コア サービスには未修正の脆弱性が存在します。一般のユーザが悪意のあるコードを含んだサイトを閲覧したり、特殊な細工のされた
html 形式のファイル・メールをプレビューするとログインユーザの権限で任意のコードが実行される可能性があります。


II. 対象

Microsoft によると影響を受けるシステムは以下のとおりです。

- Windows 2000 Service Pack4 上に Microsoft XML Core Services 4.0 が
インストールされている環境
- Windows XP Service Pack2 上にMicrosoft XML Core Services 4.0 がイ
ンストールされている環境
- Microsoft Windows Server 2003 および Microsoft Windows Server 2003
Service Pack 1 上に Microsoft XML Core Service 4.0 がインストール
されている環境

*** 更新: 2006年11月15日追記 ****************

2006年11月15日(日本時間) Microsoft よりセキュリティ更新プログラムが
公開されました。Microsoft によると影響を受けるシステムは以下のとおり
です。

- Windows (すべてのバージョン)にインストールされた Microsoft XML
コアサービス 4.0 Service Pack 2
- Windows (すべてのバージョン)にインストールされた Microsoft XML
コアサービス 6.0

また影響を受けないシステムは以下のとおりです。

- Microsoft XML コア サービス 3
- Microsoft XML コア サービス 5
- Microsoft XML コア サービス 6 Service Pack 1

詳細に関しましては、ベンダが提供する情報を参照してください。

**************************************************


III. 対策

現時点で本脆弱性を修正するセキュリティ更新プログラムは公開されていません。

*** 更新: 2006年11月15日追記 ****************

2006年11月15日(日本時間) Microsoft よりセキュリティ更新プログラムが
公開されました。詳細に関しましては、下記ベンダが提供する情報を参照し
てください。

マイクロソフト セキュリティ情報 MS06-071
Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (928088) (MS06-071)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-071.mspx

**************************************************


IV. 回避策

本脆弱性の回避策については 以下の Microsoft が提供するアドバイザリを参照の上、対応してください。

マイクロソフト セキュリティ アドバイザリ (927892)
XML コアサービスの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/927892.mspx


V. 参考情報

Vulnerability Note VU#585137
Microsoft XML Core Services XMLHTTP ActiveX control vulnerability
http://www.kb.cert.org/vuls/id/585137

@police
マイクロソフト社の Microsoft XML コアサービスの脆弱性について
http://www.cyberpolice.go.jp/important/2006/20061105_092738.html

Microsoft サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

__________

改訂履歴
2006-11-06 初版
2006-11-15 本脆弱性に関するセキュリティ更新プログラム公開について追記

==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter