3.影響を受けるソフトウェア ※ Microsoft Internet Explorer 6 Microsoft Internet Explorer 7 Microsoft Internet Explorer 8 Microsoft Internet Explorer 9
※Windows 8 Consumer Preview に同梱される Internet Explorer 10 Consumer Preview もこの脆弱性の影響を受けます。
4.解説 Microsoft Internet Explorer (IE) の Microsoft HTML Viewer (mshtml.dll) は、HTML, Cascading Style Sheets (CSS), Document Object Model (DOM) などをパースおよびレンダリングする機能を提供するライブラリです。
IE の mshtml!CTableLayout (mshtml.dll) には、列幅を固定したテーブル (table-layout:fixed) における col 要素の span 属性の取り扱いに不備があります。 このため、JavaScript を介して、当該テーブルの span 属性値を大きな値に変更する不正な Web ページを処理した場合に、ヒープオーバーフローが発生する脆弱性が存在します。
なお、Server Core インストールを実施した Windows Server 2008/2008 R2 は、IE がインストールされないため、この脆弱性の影響を受けないことが、Microsoft より報告されています。また、Windows Server 2003, Server 2008, Server 2008 R2 上の IE においては、既定で、セキュリティ強化の構成と呼ばれる制限モードで実行されるため、脆弱性の影響は緩和されるとも報告されています。
5.対策 以下の Web サイトを参考に、それぞれの Windows OS の IE バージョンに対応するパッチ (MS12-037) を入手し適用することで、この脆弱性を解消することが可能です。 ※Windows Update/Microsoft Update を行うことでも同様に解消することが可能です。
