JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

最終更新: 2014-05-02

2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起


各位

                                                  JPCERT-AT-2014-0018
                                                            JPCERT/CC
                                                     2014-04-28(新規)
                                                     2014-05-02(更新)

                  <<< JPCERT/CC Alert 2014-04-28 >>>

2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140018.html


I. 概要

  Microsoft Internet Explorer には未修正の脆弱性があります。結果として
遠隔の第三者は、細工したコンテンツをユーザに開かせることで、任意のコー
ドを実行させる可能性があります。

    Microsoft Security Advisory 2963983
    Vulnerability in Internet Explorer Could Allow Remote Code Execution
    https://technet.microsoft.com/en-US/library/security/2963983

  マイクロソフト社によると、本脆弱性を悪用する標的型攻撃が確認されてい
るとのことです。

** 更新: 2014年5月2日追記 *****************************************
  2014年5月2日、本脆弱性に関するセキュリティ更新プログラムが公開され
ましたので、適用される事をお勧めします。

    マイクロソフト株式会社
    Internet Explorer 用の累積的なセキュリティ更新プログラム (2965111)
    https://technet.microsoft.com/ja-jp/library/security/ms14-021

  また、JPCERT/CC ではセキュリティ更新プログラムに関して注意喚起を発行
致しました。

    JPCERT/CC
    マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140020.html

**********************************************************************


II. 対象

  対象となる製品とバージョンは以下の通りです。

  - Microsoft Internet Explorer 6
  - Microsoft Internet Explorer 7
  - Microsoft Internet Explorer 8
  - Microsoft Internet Explorer 9
  - Microsoft Internet Explorer 10
  - Microsoft Internet Explorer 11

*** 更新: 2014年5月2日修正 *****************************************
  詳細は、マイクロソフト セキュリティ情報 MS14-021 を参照してください。

**********************************************************************


III. 対策

*** 更新: 2014年5月2日修正 *****************************************
  2014年5月2日にマイクロソフト社よりセキュリティ更新プログラム
(MS14-021) が公開されました。

  Microsoft Update、Windows Update などを用いて、セキュリティ更新プロ
グラムを早急に適用してください。

    Microsoft Update
    https://www.update.microsoft.com/

    Windows Update
    http://windowsupdate.microsoft.com/

**********************************************************************


IV. 回避策

*** 更新: 2014年5月2日追記 *****************************************
セキュリティ更新プログラムをインストールすることで、以下の回避策は不
要となります。

以下の回避策を適用された方は、セキュリティ更新プログラムの適用前また
は適用後に、回避策の解除が必要になる場合があります。

   - VGX.DLL 上の Access Control List (ACL) を修正された方は、セキュリ
     ティ更新プログラムを適用する前に、回避策を解除する必要があります。

   - VGX.DLL の登録を解除された方は、セキュリティ更新プログラムを適用
     する前に回避策を解除する必要はありません。ただし、セキュリティ更
     新プログラムでは、VGX.DLL は再登録されないため、再登録を行ってく
     ださい。

   - その他の回避策を適用している場合は、セキュリティ更新プログラムを
     適用する前に回避策を解除する必要はありません。

**********************************************************************

  マイクロソフト社より、本脆弱性に関する複数の回避策が公開されています。
セキュリティ更新プログラムを適用するまでの間の暫定対策として、回避策を
適用するかどうか検討してください。また回避策を適用する場合は、システム
への影響など事前に検証の上実施してください。

   - Enhanced Mitigation Experience Toolkit (EMET) を使用する
     Enhanced Mitigation Experience Toolkit
     https://support.microsoft.com/kb/2458544
     ※ ただし、EMET 3.0 では本脆弱性の影響を軽減することができません

   - インターネットおよびローカル イントラネット セキュリティ ゾーンの
     設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよび
     アクティブ スクリプトをブロックする

   - インターネットおよびイントラネット ゾーンで、アクティブ スクリプト
     の実行前にダイアログを表示するように Internet Explorer を構成する、
     または、アクティブ スクリプトを無効にするよう構成する

  アドバイザリでは、レジストリの登録解除や、Internet Explorer 11 の拡
張保護モードを利用した回避策なども紹介されています。各回避策についての
詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照して
ください。


V. 参考情報

*** 更新: 2014年3月12日追記および修正 ********************************
    マイクロソフト株式会社
    Internet Explorer 用の累積的なセキュリティ更新プログラム (2965111)
    https://technet.microsoft.com/ja-jp/library/security/ms14-021

    マイクロソフト株式会社
    セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
    http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

    独立行政法人情報処理推進機構(IPA)
    Internet Explorer の脆弱性対策について(CVE-2014-1776)
    https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

    JPCERT/CC
    マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140020.html

    Vulnerability Note VU#222929
    Microsoft Internet Explorer CMarkup use-after-free vulnerability
    https://www.kb.cert.org/vuls/id/222929

    JVNVU#92280347
    Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
    https://jvn.jp/vu/JVNVU92280347/

**********************************************************************

    Microsoft Security Advisory 2963983
    Vulnerability in Internet Explorer Could Allow Remote Code Execution
    https://technet.microsoft.com/en-US/library/security/2963983

    Microsoft
    Microsoft releases Security Advisory 2963983
    http://blogs.technet.com/b/msrc/archive/2014/04/26/microsoft-releases-security-advisory.aspx

    Microsoft
    More Details about Security Advisory 2963983 IE 0day
    http://blogs.technet.com/b/srd/archive/2014/04/26/more-details-about-security-advisory-2963983-ie-0day.aspx

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2014-04-28 初版
2014-05-02 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 回避策」、
           「V. 参考情報」の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english