-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0051 JPCERT/CC 2018-12-20 <<< JPCERT/CC Alert 2018-12-20 >>> Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180051.html I. 概要 マイクロソフトから Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関するセキュリティ更新プログラムが公開されました。本情報には、深刻度 が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用さ れた場合、リモートからの攻撃によって任意のコードが実行される恐れがあり ます。マイクロソフトは、本脆弱性の悪用を確認しているとのことです。 脆弱性の詳細は、次の URL を参照してください。 マイクロソフト株式会社 CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653 - KB4483187, KB4483230, KB4483234, KB4483235, KB4483232, KB4483228 KB4483229 II. 対象 対象となる製品とバージョンは以下の通りです。 Internet Explorer 11 - Windows 10 Version 1703 for 32-bit Systems (KB4483230) - Windows 10 Version 1703 for x64-based Systems (KB4483230) - Windows 10 Version 1803 for 32-bit Systems (KB4483234) - Windows 10 Version 1803 for x64-based Systems (KB4483234) - Windows 10 Version 1803 for ARM64-based Systems (KB4483234) - Windows 10 Version 1809 for 32-bit Systems (KB4483235) - Windows 10 Version 1809 for x64-based Systems (KB4483235) - Windows 10 Version 1809 for ARM64-based Systems (KB4483235) - Windows Server 2019 (KB4483235) - Windows 10 Version 1709 for 32-bit Systems (KB4483232) - Windows 10 Version 1709 for 64-based Systems (KB4483232) - Windows 10 Version 1709 for ARM64-based Systems (KB4483232) - Windows 10 for 32-bit Systems (KB4483228) - Windows 10 for x64-based Systems (KB4483228) - Windows 10 Version 1607 for 32-bit Systems (KB4483229) - Windows 10 Version 1607 for x64-based Systems (KB4483229) - Windows Server 2016 (KB4483229) - Windows 7 for 32-bit Systems Service Pack 1 (KB4483187) - Windows 7 for x64-based Systems Service Pack 1 (KB4483187) - Windows 8.1 for 32-bit systems (KB4483187) - Windows 8.1 for x64-based systems (KB4483187) - Windows RT 8.1 (KB4483187) - Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4483187) - Windows Server 2012 R2 (KB4483187) Internet Explorer 10 - Windows Server 2012 (KB4483187) Internet Explorer 9 - Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4483187) - Windows Server 2008 for x64-based Systems Service Pack 2 (KB4483187) III. 対策 Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更 新プログラムを早急に適用してください。 Microsoft Update Catalog https://www.catalog.update.microsoft.com/ Windows Update: FAQ https://support.microsoft.com/ja-JP/help/12373/windows-update-faq マイクロソフトから、アップデートに関する情報とともに、本脆弱性に対する 回避策も説明されています。 マイクロソフトによると本脆弱性は、 JScript スクリプトエンジンにおける メモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制 限することで、脆弱性の影響を回避することができるとのことです。jscript.dll へのアクセス制限を施すことで、JScript を利用する Web サイト等で影響が 生じる可能性は考えられるため、回避策の適用にあたっては、十分に影響範囲 を考慮の上、実施してください。 IV. 参考情報 マイクロソフト株式会社 CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653 マイクロソフト株式会社 December 2018 Security Update Release https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/ マイクロソフト株式会社 2018 年 12 月のセキュリティ更新プログラム (月例) https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/ CERT/CC Vulnerability Note VU#573168 Microsoft Internet Explorer scripting engine JScript memory corruption vulnerability https://www.kb.cert.org/vuls/id/573168/ Japan Vulnerability Notes JVNVU#91880486 Internet Explorer の JScript スクリプトエンジン におけるメモリ破損の脆弱性 https://jvn.jp/vu/JVNVU91880486/ 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcGx2XAAoJEDF9l6Rp7OBIfmkH/2y+zwcAh6nuQfNJ+cLHMM/X MGUPptC8L1GzCO4hjd+lfParQDa6dJ0SpDMbWmOY+EAOp2fvdaEoxL/ubowh0f7X gFX7Zl/wguyBKpaAbZMW9mpEsjeKUDj1yV/nh1crTXephFtv9C5YYwr/mhCGo0ft Mrqy7fv9r650Rg88HEqlyFFXafHsv3KTjOMJO9ZnPSE7T/lU6qRJVqlW4MAeqCR0 z6i71/k/1XZdMRFiT6kTGta9F9xBbolagOHUTIlxFqyiGr/GIfmxWZNBopiD1hHi adEPw3e9G1dmjnMXj5OW3nczX6niXhP0uutklFOyZSGx2OdOB8UeRCeKJutVljo= =AetZ -----END PGP SIGNATURE-----