IE(Internet Explorer)の深刻な脆弱性について<標的型攻撃の恐れ>

2014/5/4

ついにマイクロソフトが緊急措置の対応を行いました。アップデートを実施すると、脆弱性を修正してくれます。今回は、サポート終了した、Windows XPもセキュリティパッチが適用されますので、是非適用しましょう!

Out-of-Band Release to Address Microsoft Security Advisory 2963983 (Microsoft blog)
セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開(日本セキュリティチーム)

ちなみに、自宅のWindows 8.1 Proのスクリーンショットを添付します。  このアップデートでOKのようです。(たぶん)

IE 緊急アップデート

 


2014/4/29

IEの脆弱性が発表され、ニュース等で取り上げられていましたので、情報をアップします。

米国土安全保障省は28日、ハッカー攻撃にさらされる危険があるとして、米マイクロソフト社の閲覧ソフト「インターネット・エクスプローラー」を使わないよう警告、代替ソフトの使用を呼び掛けた。ロイター通信が伝えた。

このIEの脆弱性を悪用することで、不正なWebサイトに誘導させ、不正プログラムを実行させることが可能。そのため、標的型攻撃として利用される恐れがあるので、十分注意して欲しい。 攻撃コードは既に存在し、ゼロディー攻撃されているとのこと。但し、Flash経由での攻撃が確認されているため、Flashのプラグインを一時的に無効化する方法も有効的だ。Flash以外による攻撃も今後登場する可能性があるため、この対策の他に、JavaScriptの無効化、VGX.DLLの登録を解除は必須だ。 マイクロソフトから修正プログラムがリリースされる間に手間をかけずインターネットを利用したい場合は、Google Chrome等のブラウザを利用することが適していると取り上げられているが、IEに慣れてしまっている以上、なかなか他社製を利用するのは抵抗がある。しかし、今回はやむ得ない。

Flashプラグインを一時的に無効化する方法:
ツール(歯車)→インターネットオプション→プログラムタブ→アドオンの管理→表示プルダウン→アドオンの種類:ツールバーと拡張機能:Shockwave

Flash Object →無効にする。 JavaScriptの無効化する方法:
ツール(歯車)→インターネット オプション→セキュリティタブ→インターネットゾーン→レベルのカスタマイズ をクリック。 スクリプトにあるアクティブ スクリプトの無効にする をクリック。

VGX.DLLの登録解除する方法:
“%SystemRoot%System32regsvr32.exe” -u “%CommonProgramFiles%Microsoft SharedVGXvgx.dll”

なお、Windows XPは既にMicrosoft社がサポートを終了しているため、XP環境でIEを利用するのは禁物。Google Chromeやfirefoxを利用してWebサイトを利用されるのが無難だ。とはいっても、XPそものがサポート終了しているため、無保証でやむなく、Web閲覧をしたい場合、ブラウザを利用せざるをえない場合だけにとどめよう。

<対象>
◆ブラウザ:Internet Explorer (IE) ver.6~Ver.11(最新バージョンまで)
◆OS:Windows Vista / 7 / 8 / 8.1 / 2003/ 2008 / 2008 R2 / 2012 / 2012 R2など
※XPはサポート終了しているため対象であるもののサポート外。
※サーバOSにおいて、IE ESCをデフォルト通り有効にしている場合は、緩和される。

<暫定対策>
①Enhanced Mitigation Experience Toolkitを利用する。(参考)マイナビMicrosoft Blog窓の杜 →但し、Windows XPには有効的だがWindows7ではEMET相当のセキュリティが搭載されているためこのツールを利用しても飛躍的な効果が小さいとこちらのブログには記載あり。
②インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする。
③インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する。

IEに脆弱性、「代替ソフト使用を」 米国土安全保障省(AFPBB)
Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起(JPCERT/CC)
マイクロソフト セキュリティ アドバイザリ 2963983(マイクロソフト)
IE6~11に新たな脆弱性が発見される。Windows XP向けの対応はなし(slashdot)
New Zero-Day Exploit targeting IE 9 through 11 Identified in Targeted Attacks(FireEye)
IEに深刻な脆弱性発覚、XPにはパッチも発行されず(ギズモード)
【注意喚起!】Internet Explorer 6~11に未修正の脆弱性!すでに標的型攻撃も確認とのこと!(ネットセキュリティブログ)
IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし(Gigazine)
IE 6~11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開(ITmedia)
Internet Explorerの脆弱性について(インフニ)
IEでFlash Playerを有効にする方法(Adobe)
米国土安全保障省など「Internet Explorerを使うな」と警告【IE使用禁止・4.28】(まとめ)
Internet Explorer にパッチ未公開のゼロデイ脆弱性(Symantec blog)