-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2014-0009 JPCERT/CC 2014-02-20(新規) 2014-03-12(更新) <<< JPCERT/CC Alert 2014-02-20 >>> 2014年2月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140009.html I. 概要 Microsoft Internet Explorer にはメモリ破損の未修正の脆弱性があります。 結果として遠隔の第三者は、細工したコンテンツをユーザに開かせることで、 任意のコードを実行させる可能性があります。 Microsoft Security Advisory (2934088) Vulnerability in Internet Explorer Could Allow Remote Code Execution https://technet.microsoft.com/en-us/security/advisory/2934088 マイクロソフト社によると、本脆弱性を悪用する標的型攻撃が確認されてい るとのことです。 *** 更新: 2014年3月12日追記 ***************************************** 2014年3月12日、本脆弱性に関するセキュリティ更新プログラムが公開され ましたので、適用される事をお勧めします。なお、本セキュリティ更新プログ ラムには、マイクロソフト セキュリティ アドバイザリ (2934088) で指摘さ れていた脆弱性以外の修正も含まれています。 マイクロソフト株式会社 マイクロソフト セキュリティ情報 MS14-012 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (2925418) https://technet.microsoft.com/ja-jp/security/bulletin/ms14-012 ********************************************************************** II. 対象 対象となる製品とバージョンは以下の通りです。 - Microsoft Internet Explorer 9 - Microsoft Internet Explorer 10 詳細は、マイクロソフト セキュリティ アドバイザリ (2934088) を参照し てください。 III. 対策 *** 更新: 2014年3月12日修正 ***************************************** 2014年3月12日にマイクロソフト社よりセキュリティ更新プログラム (MS14-012) が公開されました。 Microsoft Update、Windows Update などを用いて、セキュリティ更新プロ グラムを早急に適用してください。 Microsoft Update https://www.update.microsoft.com/ Windows Update http://windowsupdate.microsoft.com/ ********************************************************************** IV. 回避策 *** 更新: 2014年3月12日追記 ***************************************** セキュリティ更新プログラムをインストールすることで、以下の軽減策は不 要となります。Microsoft Fix it ソリューション「Microsoft Fix it 51007」 を実装したユーザは、セキュリティ更新プログラムをインストール後に必要に 応じて Microsoft Fix it ソリューションを解除してください。 ********************************************************************** マイクロソフト社より、以下の回避策が公開されています。セキュリティ更 新プログラムを適用するまでの間の暫定対策として、本回避策を適用するかど うか検討してください。 回避策を適用する場合は、システムへの影響など事前に検証の上実施してく ださい。各回避策についての詳細は、マイクロソフト セキュリティ アドバイ ザリ (2934088) を参照してください。 - Microsoft Fix it 51007 を適用する Microsoft security advisory: Vulnerability in Internet Explorer could allow remote code execution https://support.microsoft.com/kb/2934088 ※ Microsoft Fix it の適用に際しては事前に Microsoft Internet Explorer を最新の状態に更新してください。 - Enhanced Mitigation Experience Toolkit (EMET) を使用する Enhanced Mitigation Experience Toolkit http://technet.microsoft.com/ja-jp/security/jj653751 V. 参考情報 *** 更新: 2014年3月12日追記 ***************************************** マイクロソフト株式会社 2014 年 3 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms14-mar ********************************************************************** Microsoft Security Advisory (2934088) Vulnerability in Internet Explorer Could Allow Remote Code Execution https://technet.microsoft.com/en-us/security/advisory/2934088 Microsoft Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322 http://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx JVNVU#96727848 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 https://jvn.jp/vu/JVNVU96727848/ 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2014-02-20 初版 2014-03-12 「I. 概要」、「III. 対策」、「IV. 回避策」、「V. 参考情報」 の修正 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTH8X6AAoJEDF9l6Rp7OBI19UH/166XwD1tYCfcfpVsDuqS30Q zBMlMRL5s/lMYt6Bg6nFs23LKWTNiJVbHIwvl1yYQSCvrtSMEI8Nkd7BRPfqn0+3 B27LCh9VFCQr6cDS+ZdBh3b4Fz8uS8eBmijVeLzTZ+mck6/xmheZ8cLKDDgR33Dl Q0xXPqg1cN+Wz7TFsHLroyv9Lx4F+Zm3uwp3NtZBtwnqV9iiQr1Ku0hVcq+SyZuv JYLwtT93UjigPOb59u2d6ksiAfNDwQ6pnSfhf9ZKAeyvOUqCdKvlWQNTKILVZqzo aC9R0h+ZL/Z0Kt80lsL0WgOE3XA6EurQaK9AxyYT8JJObSnR3K/XDxFnnmpxna8= =MSFP -----END PGP SIGNATURE-----