製品・ソフトウェアに関する情報

JVN脆弱性詳細

Internet Explorer サーバコントロールにおける任意のコードを実行される脆弱性

Title	Internet Explorer サーバコントロールにおける任意のコードを実行される脆弱性
Summary	AOL Instant Messenger (AIM)、AIM Pro、および AIM Lite の組み込まれた Internet Explorer サーバコントロールには、着信インスタントメッセージのために mshtml.dll の Web スクリプトおよび HTML 機能の使用を適切に制限しないため、予期しないコンテキストへ HTML を配置される、および任意のコードを実行される脆弱性が存在します。
Possible impacts	第三者により、IMG SRCを介して、予期しないコンテキストへ HTML を配置される、および任意のコードを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 14, 2007, midnight
Registration Date	June 26, 2012, 3:54 p.m.
Last Update	June 26, 2012, 3:54 p.m.

Affected System

AOL

AIM Lite

AIM Pro

AOL Instant Messenger 6.1.41.2 および 6.2.32.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-4901	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4901
National Vulnerability Database (NVD)
2	CVE-2007-4901	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4901

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
AOL
1	Top Page	http://www.aol.com/

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-4901

Summary	The embedded Internet Explorer server control in AOL Instant Messenger (AIM) 6.1.41.2 and 6.2.32.1, AIM Pro, and AIM Lite does not properly constrain the use of mshtml.dll's web script and HTML functionality for incoming instant messages, which allows remote attackers to place HTML into unexpected contexts or execute arbitrary code, as demonstrated by writing arbitrary HTML to a notification window, and writing contents of arbitrary local image files to this window via IMG SRC.
Summary	El control de servidor de Internet Explorer integrado en AOL Instant Messenger (AIM) versiones 6.1.41.2 y 6.2.32.1, AIM Pro y AIM Lite, no restringe apropiadamente el uso del script web y la funcionalidad HTML de la biblioteca mshtml.dll para mensajes instantáneos entrantes, que permite a atacantes remotos colocar HTML en contextos inesperados o ejecutar código arbitrario, como es demostrado al escribir HTML arbitrario en una ventana de notificación, y al escribir contenido de archivos de imagen local arbitrarios en esta ventana por medio de IMG SRC.
Publication Date	Sept. 15, 2007, 3:17 a.m.
Registration Date	Jan. 29, 2021, 2:20 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx	cve@mitre.org
2	http://secunia.com/advisories/26786	cve@mitre.org
3	http://securityreason.com/securityalert/3136	cve@mitre.org
4	http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924	cve@mitre.org
5	http://www.securityfocus.com/archive/1/479199/100/0/threaded	cve@mitre.org
6	http://www.securityfocus.com/archive/1/479435/100/0/threaded	cve@mitre.org
7	http://www.securityfocus.com/archive/1/480587/100/0/threaded	cve@mitre.org
8	http://www.securityfocus.com/archive/1/480647/100/0/threaded	cve@mitre.org
9	http://www.securityfocus.com/bid/25659	cve@mitre.org
10	http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx	af854a3a-2127-422b-91ae-364da2661108
11	http://secunia.com/advisories/26786	af854a3a-2127-422b-91ae-364da2661108
12	http://securityreason.com/securityalert/3136	af854a3a-2127-422b-91ae-364da2661108
13	http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securityfocus.com/archive/1/479199/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
15	http://www.securityfocus.com/archive/1/479435/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/archive/1/480587/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/archive/1/480647/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
18	http://www.securityfocus.com/bid/25659	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List