Microsoft Video ActiveXコントロールの脆弱性に関する検証レポートを公開(NTTデータ・セキュリティ) | ScanNetSecurity
2021.05.15(土)

Microsoft Video ActiveXコントロールの脆弱性に関する検証レポートを公開(NTTデータ・セキュリティ)

 NTTデータ・セキュリティ株式会社は7月8日、Microsoft Video ActiveXコントロールに存在する脆弱性について実際に検証した「Microsoft Video ActiveXコントロールの脆弱性に関する検証レポート」を公開した。

製品・サービス・業界動向 業界動向
 NTTデータ・セキュリティ株式会社は7月8日、Microsoft Video ActiveXコントロールに存在する脆弱性について実際に検証した「Microsoft Video
ActiveXコントロールの脆弱性に関する検証レポート」を公開した。

 この問題は、最近、マイクロソフト セキュリティ アドバイザリの972890として公開されたもので、細工されたWebページの閲覧、HTMLメールの表示または添付ファイルを開いた場合に、そのローカルユーザーと同じ権限が奪取される恐れがあるというもの。原因は、ビデオの録画・再生のときに利用されるコンポーネントであるMicrosoft Video ActiveXコントロールの脆弱性で、IEを使用している場合、任意のコードをリモートから実行されてしまうことが確認されている。

 今回の検証では、Internet Explorer 7がインストールされたWindows XP SP3をターゲット環境として用意。細工を施したWebページへアクセスさせることで任意のコードを実行させている。これにより、リモート(CentOS)からターゲットへリモートログインが行えることが確認でき、ターゲットを操作できることを実証している。

 影響を受けるOSは、Windows XP/Windows Server 2003。現在、修正プログラムは作成中となっており、同レポートでは対策案として、Video ActiveXコントロールを無効にすること、IEを利用せず、影響を受けない他のブラウザを利用することなどを推奨している。なおVideo ActiveXコントロールの無効化については、マイクロソフトが自動で行うページを公開している。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090708.pdf
http://www.microsoft.com/japan/technet/security/bulletin/MS09-032.mspx
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×