JPCERT コーディネーションセンター

2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

各位

JPCERT-AT-2014-0018
JPCERT/CC
2014-04-28(新規)
2014-05-02(更新)

JPCERT/CC Alert 2014-04-28

2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2014/at140018.html


I. 概要

Microsoft Internet Explorer には未修正の脆弱性があります。結果として遠隔の第三者は、細工したコンテンツをユーザに開かせることで、任意のコードを実行させる可能性があります。

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

マイクロソフト社によると、本脆弱性を悪用する標的型攻撃が確認されているとのことです。

** 更新: 2014年5月2日追記 ****************
2014年5月2日、本脆弱性に関するセキュリティ更新プログラムが公開されましたので、適用される事をお勧めします。

マイクロソフト株式会社
Internet Explorer 用の累積的なセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/ja-jp/library/security/ms14-021

また、JPCERT/CC ではセキュリティ更新プログラムに関して注意喚起を発行致しました。

JPCERT/CC
マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140020.html

**************************************************


II. 対象

対象となる製品とバージョンは以下の通りです。

- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
- Microsoft Internet Explorer 10
- Microsoft Internet Explorer 11

*** 更新: 2014年5月2日修正 ****************
詳細は、マイクロソフト セキュリティ情報 MS14-021 を参照してください。

**************************************************


III. 対策

*** 更新: 2014年5月2日修正 ****************
2014年5月2日にマイクロソフト社よりセキュリティ更新プログラム(MS14-021) が公開されました。

Microsoft Update、Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update
https://www.update.microsoft.com/

Windows Update
http://windowsupdate.microsoft.com/

**************************************************


IV. 回避策

*** 更新: 2014年5月2日追記 ****************
セキュリティ更新プログラムをインストールすることで、以下の回避策は不要となります。

以下の回避策を適用された方は、セキュリティ更新プログラムの適用前または適用後に、回避策の解除が必要になる場合があります。

- VGX.DLL 上の Access Control List (ACL) を修正された方は、セキュリ
ティ更新プログラムを適用する前に、回避策を解除する必要があります。

- VGX.DLL の登録を解除された方は、セキュリティ更新プログラムを適用
する前に回避策を解除する必要はありません。ただし、セキュリティ更
新プログラムでは、VGX.DLL は再登録されないため、再登録を行ってく
ださい。

- その他の回避策を適用している場合は、セキュリティ更新プログラムを
適用する前に回避策を解除する必要はありません。

**************************************************

マイクロソフト社より、本脆弱性に関する複数の回避策が公開されています。セキュリティ更新プログラムを適用するまでの間の暫定対策として、回避策を適用するかどうか検討してください。また回避策を適用する場合は、システムへの影響など事前に検証の上実施してください。

- Enhanced Mitigation Experience Toolkit (EMET) を使用する
Enhanced Mitigation Experience Toolkit
https://support.microsoft.com/kb/2458544
※ ただし、EMET 3.0 では本脆弱性の影響を軽減することができません

- インターネットおよびローカル イントラネット セキュリティ ゾーンの
設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよび
アクティブ スクリプトをブロックする

- インターネットおよびイントラネット ゾーンで、アクティブ スクリプト
の実行前にダイアログを表示するように Internet Explorer を構成する、
または、アクティブ スクリプトを無効にするよう構成する

アドバイザリでは、レジストリの登録解除や、Internet Explorer 11 の拡張保護モードを利用した回避策なども紹介されています。各回避策についての詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照してください。


V. 参考情報

*** 更新: 2014年3月12日追記および修正 ****************
マイクロソフト株式会社
Internet Explorer 用の累積的なセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/ja-jp/library/security/ms14-021

マイクロソフト株式会社
セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

独立行政法人情報処理推進機構(IPA)
Internet Explorer の脆弱性対策について(CVE-2014-1776)
https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

JPCERT/CC
マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140020.html

Vulnerability Note VU#222929
Microsoft Internet Explorer CMarkup use-after-free vulnerability
https://www.kb.cert.org/vuls/id/222929

JVNVU#92280347
Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU92280347/

**************************************************

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

Microsoft
Microsoft releases Security Advisory 2963983
http://blogs.technet.com/b/msrc/archive/2014/04/26/microsoft-releases-security-advisory.aspx

Microsoft
More Details about Security Advisory 2963983 IE 0day
http://blogs.technet.com/b/srd/archive/2014/04/26/more-details-about-security-advisory-2963983-ie-0day.aspx

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2014-04-28 初版
2014-05-02 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 回避策」、
「V. 参考情報」の修正

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter