3.影響を受けるソフトウェア Microsoft XML Core Services 3.0 Microsoft XML Core Services 4.0 Microsoft XML Core Services 5.0 Microsoft XML Core Services 6.0
※1 Windows OS に同梱される MSXML 3.0/4.0/6.0、Office 2003/2007 に同梱される MSXML 5.0 が、この脆弱性の影響を受けます。なお、MSXML はこれらのソフトウェアの他、多数の Microsoft 製品にも同梱されており、複数バージョンの MSXML がシステム上にインストールされている可能性があります。
4.解説 Microsoft XML コアサービス (MSXML) は、XML パーサ、DOM、SAX2、XSLT などの XMLに関する API を提供するライブラリ (msxml*.dll) であり、Internet Explorer (IE) や Office などの複数の Microsoft 製品において使用されています。
この MSXML には、MSXML DOM オブジェクトの取り扱いに不備があるため、IE を介して特定の MSXML API を呼び出す不正な Web ページを処理した場合に、初期化されていないメモリ領域上のオブジェクトにアクセスしてしまう脆弱性が存在します。
なお、Windows Server 2003, Server 2008, Server 2008 R2 上の IE においては、既定で、セキュリティ強化の構成と呼ばれる制限モードで実行されるため、脆弱性の影響は緩和されることが、Microsoft より報告されています。 また、Office 2010 は、この脆弱性の影響を受けないことも併せて報告されています。
Google によれば、悪質な Web サイトや Office ドキュメントを介してこの脆弱性を悪用する標的型攻撃を確認していると報告しています。
