Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 (JVNVU#92280347)
- RIS会員の皆様へ -
いつもお世話になっております。こちらはリウコム・インターネット・サービスです。平素よりRISサービスをご利用いただき、 誠にありがとうございます。
JVN(*1)より「Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性(JVNVU#92280347)」が掲載されてましたので、皆様にご案内させていただきます。
(*1)JVNとは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報ポータルサイトです。
概要
Microsoft が提供する Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します(CWE-416)。なお、本脆弱性を悪用した攻撃が観測されているとの情報が公開されています。これにより、細工された HTML ドキュメントを閲覧することで、任意のコードを実行されたり、攻撃者によってパソコンを制御される可能性があります。
詳細は、下記のホームページをご覧ください。
対象
対象となる製品とバージョンは以下の通りです。
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
- Microsoft Internet Explorer 10
- Microsoft Internet Explorer 11
対策
2014年4月28日 (日本時間) 現在、マイクロソフト社よりセキュリティ更新プログラムは公開されていません。
*2014/5/2更新*
マイクロソフト社より本脆弱性に対するセキュリティ更新プログラム(KB2964358)が公開されました。
今回の脆弱性に対して、特例でWindowsXP向けにもセキュリティ更新プログラムが公開されております。
Windows Updateでセキュリティ更新プログラム(KB2964358)を適用してください。
セキュリティ更新プログラム(KB2964358)を適用した場合は以降の対策について実施は不要です。
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- Enhanced Mitigation Experience Toolkit (EMET) を適用する
※本回避策を適用する場合は、システムへの影響など事前に検証の上実施してください。
関連する情報
- Internet Explorer の脆弱性対策について(CVE-2014-1776)
- 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
- Vulnerability in Internet Explorer Could Allow Remote Code Execution (Microsoft Security Advisory 2963983)
