Vendor Status Note JVNCIAC-R-045

WinZip 等の FileView ActiveX コントロールに複数の脆弱性

WinZip 等で使用されている Sky Software の FileView ActiveX コントロールには、バッファオーバーフローを含む複数の脆弱性があります。
WinZip 10 のビルド 7245 よりも前のビルドでは、この脆弱性を含んだ FileView ActiveX コントロールを使用しています (WinZip 10 より前のバージョンでは使用していません)。

遠隔の第三者が、細工された Web ページを通じて任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

ベンダ	リンク	更新日
WinZip	WinZip(R) - Changes to WinZip 10.0 Build 7245 WinZip 10.0 Build 7245

1. US-CERT Vulnerability Note VU#225217
   Sky Software FileView ActiveX control buffer overflow vulnerability
2. US-CERT Vulnerability Note VU#512804
   Sky Software FileView ActiveX control allows arbitrary command execution via unsafe methods
3. マイクロソフト サポートオンライン
   Internet Explorer で ActiveX コントロールの動作を停止する方法
4. ISS X-Force Database: fileview-winzip-activex-bo(30315)
   FileView WinZip ActiveX control filepattern property buffer overflow
5. ISS X-Force Database: fileview-winzip-activex-code-execution(30316)
   FileView WinZip ActiveX control unsafe method code execution