【注意喚起】Microsoft Internet Explorer の未修正の脆弱性に関して

Internet Explorer の未修正の脆弱性が発見されました。これを悪用された場合、Webサイトを改ざんされたり、リモートで任意のコードを実行されたりする恐れがあります。2014年4月28日 (日本時間) 現在、マイクロソフト社よりセキュリティ更新プログラムは公開されておらず、確実な対策が存在しないため、下記を参照され、注意されるようお願いいたします。

 

● 対象
– Microsoft Internet Explorer 6～11

●回避策
マイクロソフト社より、本脆弱性に関する複数の回避策が公開されています。セキュリティ更新プログラムを適用するまでの間の暫定対策として、回避策を適用するかどうか検討してください。また回避策を適用する場合は、システムへの影響など事前に検証の上実施してください。

– Enhanced Mitigation Experience Toolkit (EMET) を使用する
Enhanced Mitigation Experience Toolkit
https://support.microsoft.com/kb/2458544
※ ただし、EMET 3.0 では本脆弱性の影響を軽減することができません
– インターネットおよびローカル イントラネット セキュリティ ゾーンの 設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする
– インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する

アドバイザリでは、レジストリの登録解除や、Internet Explorer 11 の拡張保護モードを利用した回避策なども紹介されています。各回避策についての詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照してください。

■参考URL

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

 

Microsoft releases Security Advisory 2963983
http://blogs.technet.com/b/msrc/archive/2014/04/26/microsoft-releases-security-advisory.aspx

 

Microsoft  More Details about Security Advisory 2963983 IE 0day
http://blogs.technet.com/b/srd/archive/2014/04/26/more-details-about-security-advisory-2963983-ie-0day.aspx

 

Vulnerability Note VU#222929
Microsoft Internet Explorer use-after-free vulnerability
https://www.kb.cert.org/vuls/id/222929

 

【本件問い合わせ先】
情報推進部　情報企画課　情報企画班　TEL：06-6879-4482(吹 4482,3070)