最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆グーグル、脆弱性23件を修正した「Google Chrome 35」公開(2014/05/22) | メイン | ◆アップル、深刻な脆弱性を修正した「Safari 7.0.4/6.1.4」公開(2014/05/23) »

2014/05/23

◆IE8に未修正の脆弱性、ZDIがアドバイザリー公開(2014/05/23)

 米TippingPoint(ティッピングポイント)社のセキュリティ研究組織「ZDI(Zero Day Initiative:ゼロデイイニシアチブ)」は21日、Internet Explorer(IE)8に未修正の深刻な脆弱性が存在するとして、セキュリティアドバイザリーを公開した。

 ZDIが集めた未修正の脆弱性情報は、開発元に通知されて修正のための調整が図られる。修正期限は180日としており、これを過ぎると未修正の状態でも、その概要が一般に公開される。今回公開した脆弱性情報は、昨年10月にマイクロソフトに通知したもので、期限を過ぎても修正されなかったため、今月8日の最後通告を経て一般に公開した。

 アドバイザリーが指摘する脆弱性は、IE8のレンダリングエンジンMSHTMLライブラリーに存在する、解放したメモリーを使用してしまう問題(CVE-2014-1770)だ。この脆弱性は、外部から任意のコードが実行できる可能性があり、悪用されると細工されたWebページを閲覧するだけでウイルスに感染し、パソコンを乗っ取られてしまうおそれがある。

 いまのところ、この脆弱性を悪用した攻撃は発生していないが、今年1月から2月にかけてIE10が標的となったゼロデイ攻撃に悪用された脆弱性(CVE-2014-0322)や、先月から今月にかけてIE 9、10、11を標的として行われたゼロデイ攻撃に悪用された脆弱性(CVE-2014-1776)と同種のものであり、ウイルス感染への悪用が懸念される。

 現時点でマイクロソフトから修正パッチは提供されていないが、先のゼロデイ攻撃と同様の、以下のような回避策が有効だ。攻撃の発生に向け、今のうちに備えておこう。

●脆弱性のないブラウザを使用する
 今回の脆弱性はIE 8のみに影響する問題なので、問題のないIE 9/10/11に移行したり、IE以外のブラウザに一時切り替えたりすることによって、攻撃を受けなくなる。
 下記JVNの日本語のアドバイザリーでは、IE 11以降へのアップグレードを促しているが、IE 11以降である必要はない。IE 8以外は脆弱性の影響を受けないので、IE 11が利用できないWindows Vistaでも、初期搭載のIE 7のまま、もしくはIE 9にアップグレードした状態でWindows Updateを実行し、最新の状態に更新していれば、IEをそのまま継続利用できる。

●セキュリティ設定を「高」にする
 この脆弱性は、スクリプトを使ってブラウザの内部を操作しないと問題を発生させることができない。脆弱性を突くためには、ブラウザのスクリプトが必須だ。
 IEのインターネットオプションで「インターネット」ゾーンのセキュリティ設定を「高」に設定すると、IEのアクティブスクリプトやActiveXコントロールが無効になり、攻撃を回避できる。「ローカル」「イントラネット」ゾーンのセキュリティ設定も「高」に設定しておくと、安全性がより高くなる。
 スクリプトやプラグインは、脆弱性攻撃で実行する悪質なコードを、メモリー上に読み込んでおくために使用されることも多い。このため、スクリプトの有無に直接依存しない脆弱性であっても、セキュリティ設定を「高」にすることで、たいてい回避できる。

●EMET(Enhanced Mitigation Experience Toolkit)を使用する
 マイクロソフトが無料で配布している脆弱性の悪用を緩和するツールEMETを使用する。下記のEMETのページにある関連リンクから「EMET 4.1」のダウンロードに進み、「EMET 4.1 Uopdate 1」をダウンロード/インストールする。
 脆弱性の悪用を緩和するためには、緩和対象にしたい脆弱性を持つソフトウェアをEMETに監視させる必要がある。EMETの設定ウィザード(EMET Configration Wizard)で推奨設定(Use Recommended Setting)を選択すると、IEをはじめとする主要なソフトウェアが自動的に緩和対象として設定されるので、初めて利用する方はこれを選択するとよい。

(2014/05/23 ネットセキュリティニュース)

【関連URL】
・ZDI-14-140:(0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability[英文](Zero Day Initiative)
http://zerodayinitiative.com/advisories/ZDI-14-140/
・Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性(JVN)
http://jvn.jp/vu/JVNVU97953185/
・EMET:Enhanced Mitigation Experience Toolkit(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/jj653751

投稿情報: 09:05 |

|