製品・ソフトウェアに関する情報
Vulnerability Search
Internet Explorer に任意のコードが実行される脆弱性
Title Internet Explorer に任意のコードが実行される脆弱性
Summary

Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 Internet Explorer の mshtml CButton オブジェクトには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 本脆弱性を使用した攻撃が観測されています。また、本脆弱性を使用した攻撃コードも公開されています。

Possible impacts 細工された HTML ドキュメントや Office ファイル等を閲覧することで、任意のコードが実行される可能性があります。
Solution

[パッチを適用する] 開発者が提供する情報 (MS13-008) をもとに、対応するパッチを適用してください。 [ワークアラウンドを実施する] 本脆弱性を修正するセキュリティアップデートが提供されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。   * Fix it 50971 を適用する    https://support.microsoft.com/kb/2794220#FixItForMe   * Enhanced Mitigation Experience Toolkit (EMET) を適用する    https://support.microsoft.com/kb/2458544/ja   * Flash ActiveX コントロールを無効にする   * Java プラグインを無効にする
Publication Date Dec. 29, 2012, midnight
Registration Date Jan. 4, 2013, 10:42 a.m.
Last Update May 11, 2015, 4 p.m.
CVSS2.0 : 危険
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
Affected System
マイクロソフト
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7
Microsoft Internet Explorer 8
Microsoft Windows 7 (x32) SP1 以前
Microsoft Windows 7 (x64) SP1 以前
Microsoft Windows Server 2003 (itanium) SP2
Microsoft Windows Server 2003 (x64) SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2008 (itanium) SP2
Microsoft Windows Server 2008 (x64) SP2
Microsoft Windows Server 2008 (x86) SP2
Microsoft Windows Server 2008 r2(itanium) SP1 以前
Microsoft Windows Server 2008 r2(x64) SP1 以前
Microsoft Windows Vista (x64) SP2
Microsoft Windows Vista SP2
Microsoft Windows XP (x64) SP2
Microsoft Windows XP sp3 SP3
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2013年01月04日]
  掲載
[2013年01月11日]
  概要:内容を更新
  対策:内容を更新
[2013年01月15日]
  ベンダ情報:マイクロソフト (MS13-008) を追加
  対策:内容を更新
[2013年01月23日]
  ベンダ情報:富士通 (TA13-015A) を追加
[2013年01月28日]
  ベンダ情報:マイクロソフト (Microsoft Windows Update) を追加
[2015年05月11日]
  参考情報:JVN (JVNTA#99041988) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2012-4792
Summary

Use-after-free vulnerability in Microsoft Internet Explorer 6 through 8 allows remote attackers to execute arbitrary code via a crafted web site that triggers access to an object that (1) was not properly allocated or (2) is deleted, as demonstrated by a CDwnBindInfo object, and exploited in the wild in December 2012.

Summary

Una vulnerabilidad de uso después de liberación en Microsoft Internet Explorer v6 a v8 permite a atacantes remotos ejecutar código de su elección a través de un sitio web diseñado para tal fin que desencadena el acceso a un objeto que (1) no se asignó correctamente o (2) se elimina, tal y como se demuestra con un objeto CDwnBindInfo y es explotado en Diciembre de 2012.

Publication Date Dec. 31, 2012, 3:55 a.m.
Registration Date Jan. 28, 2021, 3:04 p.m.
Last Update April 23, 2026, 1:45 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:microsoft:internet_explorer:6:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:7:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
Related information, measures and tools
Common Vulnerabilities List