Microsoft Video ActiveXコントロールの脆弱性に関する検証レポートを公開(NTTデータ・セキュリティ) | ScanNetSecurity
2026.07.09(木)

Microsoft Video ActiveXコントロールの脆弱性に関する検証レポートを公開(NTTデータ・セキュリティ)

 NTTデータ・セキュリティ株式会社は7月8日、Microsoft Video ActiveXコントロールに存在する脆弱性について実際に検証した「Microsoft Video
ActiveXコントロールの脆弱性に関する検証レポート」を公開した。

製品・サービス・業界動向 業界動向
 NTTデータ・セキュリティ株式会社は7月8日、Microsoft Video ActiveXコントロールに存在する脆弱性について実際に検証した「Microsoft Video
ActiveXコントロールの脆弱性に関する検証レポート」を公開した。

 この問題は、最近、マイクロソフト セキュリティ アドバイザリの972890として公開されたもので、細工されたWebページの閲覧、HTMLメールの表示または添付ファイルを開いた場合に、そのローカルユーザーと同じ権限が奪取される恐れがあるというもの。原因は、ビデオの録画・再生のときに利用されるコンポーネントであるMicrosoft Video ActiveXコントロールの脆弱性で、IEを使用している場合、任意のコードをリモートから実行されてしまうことが確認されている。

 今回の検証では、Internet Explorer 7がインストールされたWindows XP SP3をターゲット環境として用意。細工を施したWebページへアクセスさせることで任意のコードを実行させている。これにより、リモート(CentOS)からターゲットへリモートログインが行えることが確認でき、ターゲットを操作できることを実証している。

 影響を受けるOSは、Windows XP/Windows Server 2003。現在、修正プログラムは作成中となっており、同レポートでは対策案として、Video ActiveXコントロールを無効にすること、IEを利用せず、影響を受けない他のブラウザを利用することなどを推奨している。なおVideo ActiveXコントロールの無効化については、マイクロソフトが自動で行うページを公開している。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090708.pdf
http://www.microsoft.com/japan/technet/security/bulletin/MS09-032.mspx

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

ランキングをもっと見る
PageTop