更新:「Internet Explorer」の脆弱性、悪用された攻撃も確認(2014/5/2)


更新:2014/5/2

IEに脆弱性

「Internet Explorer」の脆弱性について

Microsoft社の提供するInternet Explorerに、悪意のあるWEBページのコンテンツを開くことで攻撃者が仕掛けた命令が勝手に実行されてしまう脆弱性が発見されたという発表がIPAからありました。

既に、「Internet Explorer」のバージョン9,10、11を対象にした攻撃も確認されており、この脆弱性が悪用された場合、起動中のプログラムの異常終了や、攻撃者が用意したWebサイトへ誘導されるなどの可能性があります

なお、本脆弱性の対策となるMicrosoft社の修正プログラム(パッチ)は、既にサポートを終了しているWindows XPには提供の予定がありませんのでご注意ください。
(2014/5/2更新:Microsoft社は2日、この欠陥を修正するプログラ ムの配布を始めており、特例としてWindows XPのユーザーにも、IEの修正プログラムを配布を行っています。修正プログラムのインストール方法については、以下をご確認ください。)

対象バージョン
Internet Explorer 6、7、8、9、10、11対応方法
以下の対応方法が考えられます。

  1.  本脆弱性への修正プログラム(パッチ)の適用Microsoft社から提供されている、本脆弱性への修正プログラムを適用してください。

    修正プログラムのインストール方法(Windows Update 利用手順)
    初期設定では、自動更新が有効になっている為、自動的にセキュリティ更新プログラムがインストールされるため。初期設定から設定の変更を行っていない場合には、こちらの手順を行う必要はありません。

    Windows 8 / Windows 8.1をご利用の場合
    Windows 7をご利用の場合
    Windows Vistaをご利用の場合
    Windows XPをご利用の場合

  1.  一時的な回避策
    修正プログラムがMicrosoft社から提供されるまでの間、Internet Explorer以外のブラウザソフトをご利用いただくことでこの脆弱性による問題の発生を回避する事ができます。無料で利用可能なブラウザソフト一覧
    http://freesoft-100.com/pasokon/browser.html
  1.  その他の一時的な回避策
    その他回避策として下記の対策がMicrosoft社より公表されています。
    ・  Enhanced Mitigation Experience Toolkit 4.1 を使用する
    ・  インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーン で ActiveX コントロールおよびアクティブ スクリプトをブロックする
    ・  信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する
    ・  インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する
    ・  VGX.DLL の登録を解除する・VGX.DLL に対するアクセス制御リスト (ACL) の制限を強化する
    ・  [拡張保護モードを有効にする] (Internet Explorer 11 の場合) と [拡張保護モードで 64 ビット プロセッサを有効にす る]詳しい手順については下記のマイクロソフト社発表情報をご参照ください。マイクロソフト セキュリティ アドバイザリ 2963983
    https://technet.microsoft.com/library/security/2963983

参考
IPA: Internet Explorer の脆弱性対策について(CVE-2014-1776)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html
JPCERT/CC: Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2014/at140018.html

Microsoft 日本のセキュリティチーム
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx