IE 6~11でのゼロデイ脆弱性対策

   2014/05/03

37

スポンサーリンク

Windowsについての記事です。

Microsoftによると2014年4月26日、MicrosoftのInternet Explorer6~11においてゼロデイ脆弱性が見つかったことを公開しています。(CVE-2014-1776)
マイクロソフト セキュリティ アドバイザリ 2963983

脆弱性とは

コンピュータ上で実行されているソフトウェアなどの欠陥や仕様の問題のこと。
脆弱性を突いた悪意のあるプログラムが実行されることでコンピュータが異常動作してしまう恐れがあります。

Internet Explorer の脆弱性について(CVE-2014-1776)

今回の脆弱性が悪用された場合、ソフトウェアプログラムが異常終了をしたり、悪意のある者によってリモートからコード実行される可能性があります。

問題の脆弱性は、ユーザが攻撃者の管理下にある Webサイトを訪れると、攻撃者は被害者の PC上でコードをリモートで実行することができるようになります。攻撃は、IE 9 から IE 11 までの 3バージョンにのみ確認されていますが、根本的な不具合は、現在使われているすべての IE のバージョン(IE 6 から IE 11)に存在します。

【TrendMicro】IEゼロデイを確認。すべてのバージョンに影響

対象OS

Windows(Windows 8.1/8/7/Vista、Windows Server 2012 R2/2012/2008 R2/2008/2003)
※サポートが終了したWindows XPも含む。

対象

今回の脆弱性の対象と確認されている製品。

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

回避策

IEの拡張保護モードを有効にする。
Adobe Flash Player を無効にするか削除をする。

Microsoft は、セキュリティアドバイザリにおいていくつかの回避策を提言しています。IE 10 および IE 11 のみの機能ですが、「拡張保護モード」を有効にすることが最も簡単な方法です。これに加え、エクスプロイトコードは、実行に Adobe Flash が必要なため、Flash Player を無効にするか、IE から Flash Player を削除することでも、この脆弱性からの危険性を減少させることができます。

【TrendMicro】IEゼロデイを確認。すべてのバージョンに影響

インターネットオプションの「拡張保護モード」を有効(IE11)

インターネットオプションの「拡張保護モード」を有効(IE11)

IEのアドオン機能のAdobe Flash Playerを無効(IE11)IEのアドオン機能のAdobe Flash Playerを無効(IE11)

Microsoft社による脆弱性の対応

今回の脆弱性については現在調査中としていて、今後この問題に対してのセキュリティアップデートを公開する予定があるとのことです。

所感

今でもInternet Explorerを利用してWebサイトを閲覧している方は多いと思います。
この脆弱性はInternet Explorerで攻撃者が仕込んだWebサイトに訪問しただけで不正コードが実行されてしまう可能性があるとしています。
日々安全だと思って安心して利用しているWebサイトも実は不正プログラムを仕掛けている可能性があります。

Windows XP ユーザーに対しては今後この脆弱性に対応するセキュリティ更新プログラムが提供されません。Windows XPを「まだ使えるから。」、「バージョンアップすると使いづらい。」などという理由で使い続けることで今回の脆弱性の攻撃対象になるだけではなく、今後もこういった脆弱性が見つかり続けたときはリスクの拡大は免れない状態になります。
脆弱性は主にIEを対象としているようですが、Windows XPのOSにもそういった危険性を孕んでいる可能性もあります。脆弱性を突いた攻撃の影響を受けてしまう前にサポート対象OS(Windows7または8へ)のアップグレードを速やかに置き換えることを推奨します。
※Microsoft社によるWindows XPのサポートは2014年4月9日に終了している状態です。
それでもWindows XPを使い続けなければならないという特別な理由があるならMicrosoft 社からパッチが提供されるまでは、一時的に別の Web ブラウザを使用することを推奨します。
Chromeのインストール
https://support.google.com/chrome/answer/95346?hl=ja

スポンサーリンク


2014年5月2日
Microsoft社によるセキュリティアップデートが公開されました。今回のアップデートは2014年4月9日にサポートを終了したWindows XPに対しても例外を設けて配布するとの事です。

アップデートの適用をするにはコントロールパネルからWindows Updateを実行する方法で適用されるとの事です。
Out-of-Band Release to Address Microsoft Security Advisory 2963983

セキュリティアップデート情報 2014年5月2日
・KB2929437(IE11用セキュリティパッチ)
Windows 8.1 for x64-based Systems 用 Internet Explorer 11 のセキュリティ更新プログラム (KB2964358)
Description of the security update for Internet Explorer for systems that have security update 2929437 installed: May 1, 2014

Windows 8.1 for x64-based Systems 用 Internet Explorer 11 のセキュリティ更新プログラム (KB2964358)

・他バージョンのIE用セキュリティパッチ(緊急)
下記のMicrosoft社のページから各OSに対応するIEようセキュリティパッチをダウンロードしてインストール可能です。
マイクロソフト セキュリティ情報 MS14-021 – 緊急

  • このエントリーをはてなブックマークに追加
  • Pocket
  • 37 follow us in feedly

この記事へのコメントはこちら

メールアドレスは公開されませんのでご安心ください。
また、* が付いている欄は必須項目となりますので、必ずご記入をお願いします。

*

内容に問題なければ、下記の「コメント送信」ボタンを押してください。