« 中部電力の火力発電所資料が流出、「Winny」は削除するも「Share」を使用 | Main | 東芝、地デジ対応ノートPC »

›5 15, 2006

IDNプラグイン「i-Nav」に危険な脆弱性、任意のコードを実行される恐れ

[ PCニュース ]

 なんだか聞いたことがないので良くわからんのですが、多分入ってないし、入っていても勝手にバージョンアップするとのこと

 Internet Explorerで国際化ドメイン名(IDN)を利用できるようにするプラグイン「i-Nav」において、任意のコードを実行される恐れのある脆弱性が存在していたことが公表された。危険度について、仏FrSIRTでは4段階中で最も高い“Critical”、デンマークのSecuniaでは5段階中で上から2番目の“Highly Critical”とレーティングしている。
 
 この脆弱性は、i-Navの“VUpdater.Install”ActiveXコントロールにおける“InstallProduct”ルーチンの入力検証エラーに起因する。適切にMicrosoft Cabinet(.CAB)ファイルを検証しないために、.CABアーカイブ内の任意のファイルを実行させられる恐れがあるという。例えば、細工を施したWebサイトを訪問させることで、リモートからシステムを乗っ取ることも可能だとしている。
 
 脆弱性は3月下旬に発見されていたもので、最新バージョンにアップデートすることで修正される。開発元である米VeriSignでは、i-Navのバージョンを3月30日より「4.2.1.0」に切り替えていた。国内では日本レジストリサービス(JPRS)のサイトでもi-Navを配布しているが、同サイトで現在インストールされるのも「4.2.1.0」になっている。

IDNプラグイン「i-Nav」に危険な脆弱性、任意のコードを実行される恐れ


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?