-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2019-0037
                                                             JPCERT/CC
                                                            2019-09-24

                  <<< JPCERT/CC Alert 2019-09-24 >>>

 Microsoft Internet Explorer の脆弱性 (CVE-2019-1367) に関する注意喚起

            https://www.jpcert.or.jp/at/2019/at190037.html


I. 概要
2019年9月23日(米国時間)、マイクロソフトから Microsoft Internet Explorer
の脆弱性 (CVE-2019-1367) に関するセキュリティ更新プログラムが公開され
ました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含ま
れています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコー
ドが実行される恐れがあります。マイクロソフトによると、本脆弱性の悪用を
確認しているとのことです。

脆弱性の詳細は、次の URL を参照してください。

    マイクロソフト株式会社
    CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性
    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367
    - KB4522007, KB4522009, KB4522010, KB4522011, KB4522012, KB4522014
      KB4522015, KB4522016


II. 対象
対象となる製品およびバージョンは次のとおりです。

    Internet Explorer 11
    - Windows 10 Version 1703 for 32-bit Systems (KB4522011)
    - Windows 10 Version 1703 for x64-based Systems (KB4522011)
    - Windows 10 Version 1803 for 32-bit Systems (KB4522014)
    - Windows 10 Version 1803 for x64-based Systems (KB4522014)
    - Windows 10 Version 1803 for ARM64-based Systems (KB4522014)
    - Windows 10 Version 1809 for 32-bit Systems (KB4522015)
    - Windows 10 Version 1809 for x64-based Systems (KB4522015)
    - Windows 10 Version 1809 for ARM64-based Systems (KB4522015)
    - Windows Server 2019 (KB4522015)
    - Windows 10 Version 1709 for 32-bit Systems (KB4522012)
    - Windows 10 Version 1709 for 64-based Systems (KB4522012)
    - Windows 10 Version 1709 for ARM64-based Systems (KB4522012)
    - Windows 10 Version 1903 for 32-bit Systems (KB4522016)
    - Windows 10 Version 1903 for x64-based Systems (KB4522016)
    - Windows 10 Version 1903 for ARM64-based Systems (KB4522016)
    - Windows 10 for 32-bit Systems (KB4522009)
    - Windows 10 for x64-based Systems (KB4522009)
    - Windows 10 Version 1607 for 32-bit Systems (KB4522010)
    - Windows 10 Version 1607 for x64-based Systems (KB4522010)
    - Windows Server 2016 (KB4522010)
    - Windows 7 for 32-bit Systems Service Pack 1 (KB4522007)
    - Windows 7 for x64-based Systems Service Pack 1 (KB4522007)
    - Windows 8.1 for 32-bit systems (KB4522007)
    - Windows 8.1 for x64-based systems (KB4522007)
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4522007)
    - Windows Server 2012 (KB4522007)
    - Windows Server 2012 R2 (KB4522007)

    Internet Explorer 10
    - Windows Server 2012 (KB4522007)

    Internet Explorer 9
    - Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4522007)
    - Windows Server 2008 for x64-based Systems Service Pack 2 (KB4522007)


III. 対策
Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更
新プログラムを早急に適用してください。

    Microsoft Update Catalog
    https://www.catalog.update.microsoft.com/

    Windows Update: FAQ
    https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

マイクロソフトから、アップデートに関する情報とともに、本脆弱性に対する
回避策も説明されています。
マイクロソフトによると本脆弱性は、 JScript スクリプトエンジンにおける
メモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制
限することで、脆弱性の影響を回避することができるとのことです。jscript.dll
へのアクセス制限を施すことで、JScript を利用する Web サイト等で影響が
生じる可能性は考えられるため、回避策の適用にあたっては、十分に影響範囲
を考慮の上、実施してください。


IV. 参考情報
    マイクロソフト株式会社
    CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性
    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367

    マイクロソフト株式会社
    Internet Explorer の累積セキュリティ更新プログラム: 2019 年 9 月 23 日
    https://support.microsoft.com/ja-jp/help/4522007/cumulative-security-update-for-internet-explorer

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: ew-info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJdiW1YAAoJEKntH+qu5CT/4aoP/2SEF4iABELEsr/rOpwy9KGr
zfiKeYenaiaJyFC1xrKrv6Cs6in1jm2iEfZHdIhdYlLzL+iE8v+5cF83sSwg52Y5
VysDlC4Y4piMN10qe3WDymLAGIlPVt3B+KUHlqE1KmbRKG82Gm22VeROL0TrfBSk
P716/lJwPMzq5PRq7K2Nfu7nO0tJailQAGylCZI/T++jHGC9H3hBcAjRY/TZ8pj0
32boKrDHYRAQtdMWgdVJKsVNKpsms6PaGCfR0ZCjXeEbZrwDeKNBZ4E17O6nPBM4
dD+cgovvsKJ7FTTTjcVY00BXs6N0HqL0N7ovxyDVtLSrUc1Zz4jUZiPoEdZ+7KC4
Hf88iBrJy2Q7n+wLlv+CvkIviTfFY1ZVyUZHKvTha84VkSiLZUpIrR9POcrEseZX
vPv9TiC3Fw6xhNMfZZFxs21tQo8G1ajQ2hr4EOMwroUW3edaN6W/VidHC/POrn09
vhvXYOvG507wco+HTtrF3GX0I/w92grj2D2i5Zfmds1FS9FGg8v0IbSVn8q6Zrno
KheHPpXUnCE2+e+CU8FzdIuYjn9FQbHAIyd03VmEhIJLGatbqfZZfbaUpderwFI/
yVGxvbod3T0SCtoEIgT9JBlp9VcC8otKdZH4l8+HohS75Zwj6zqLr4jR5ID4q4lt
C4ZFkPakIKjv4vHthGx4
=+PhZ
-----END PGP SIGNATURE-----