いさぼうネット
賛助会員一覧
こんにちはゲストさん

登録情報変更(パスワード再発行)

  • rss配信いさぼうネット更新情報はこちら
便利ツール
 Internet Explorer の脆弱性対策について
〜IEのゼロデイ攻撃を確認。すべてのバージョンに影響〜
 

2014/05/02

 サイバーセキュリティの監視機関である米国土安全保障省は4月28日、 米マイクロソフト社製ブラウザ「インターネットエクスプローラー(IE)」で見つかったセキュリティ上の欠陥により、 ハッカーが侵入する可能性があるとしてユーザーらに使用しないよう警告した。

 日本でも、独立行政法人 情報処理推進機構(IPA)などは28日、 「この脆弱性を悪用した攻撃が確認されているとの情報がある」として、回避策をとるよう呼びかけた。

 マイクロソフトは今後、修正プログラムを提供する予定だが、サポートが終了したウィンドウズXPには対応しない見込み。

 土木業界では、国交省や各都道府県のホームページで公開されている「電子入札」「入札情報」のシステムなどは、 IEでの利用を推奨しているところが多く、今後の対応が気になるところです。

 では、今回の脆弱性がどのようなものか具体的に確認していきます。

<どのような脆弱性?>
この脆弱性は悪意のある細工がされたコンテンツを開くと、仕掛けられた命令が実行されるもの。 悪用されれば、アプリケーションが異常終了したり、攻撃者にパソコンを制御されたりする可能性があるという。
→Internet Explorer の解放済みメモリ使用 (use-after-free) の脆弱性

<対象製品>
・Internet Explorer 6
・Internet Explorer 7
・Internet Explorer 8
・Internet Explorer 9
・Internet Explorer 10
・Internet Explorer 11
→2014年4月9日にサポートが終了した Internet Explorer 6 も対象となっています。

<対策>
1.脆弱性の解消 - 修正プログラムの適用

 ・2014.04.30: 現時点、未発表。
 ・2014.05.02: 修正プログラムの配布開始⇒Internet Explorer 用のセキュリティ更新プログラム (2965111)

2.回避策
 Microsoft 社のアドバイザリ(2963983)では 6つの回避策が提示されています。
 主な2つを紹介
 ・Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する
 ・VGX.DLL を無効にする
 →この対策を行った場合、今まで利用できたサイトを利用できない場合もある

3. 別のブラウザを使う
 同等機能のブラウザは、ほかにもあります。この機会に乗り換えるのも一つ。
 Chrome(http://www.google.co.jp/intl/ja/chrome/browser/
 Firefox(http://www.mozilla.jp/firefox/

 

 参考資料

▽Internet Explorer の脆弱性対策について(CVE-2014-1776)(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

▽マイクロソフト セキュリティ アドバイザリ 2963983(Microsoft 社)
http://technet.microsoft.com/ja-jp/security/advisory/2963983

便利ツールへ戻る

UP

Copyright(C) 2002- ISABOU.NET All rights reserved.