Windowsトラブル事例

【重要】Internet Explorer 全バージョンに未修正のセキュリティ脆弱性!
2014.04.30

Microsoftは4月26日(米国時間)、「Microsoft Security Advisory 2963983」において
IE6、IE7、IE8、IE9、IE10、IE11にリモートから任意のコードが実行できるセキュリティ脆弱性が
存在すると伝えた。
通常、Microsoftは月に1回のセキュリティアップデートでセキュリティ脆弱性への対応を実施しているが、今回のセキュリティ脆弱性に関しては個別にパッチを提供している。攻撃者は細工したWebサイトを
用意することでこのセキュリティ脆弱性を利用することができるため注意が必要。

今回の問題は削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに
Internet Explorer がアクセスする方法にこの脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者がInternet Explorerの現在のユーザーのコンテキストで任意のコードを実行する可能性があります。攻撃者は、Internet Explorerを介して、この脆弱性の悪用を意図して特別に細工したWebサイトを
ホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。

セキュリティ修正パッチを適用するべきかどうかは、「Microsoft Security Advisory 2963983」の
「問題を緩和する要素」の項目なども吟味して検討する必要があります。場合によっては適用せずに
月に1回のセキュリティアップデートで対処しても問題のないケースもあるものとみられる。

緩和策

・ 一時的にInternet Explorer以外のWebブラウザを使用する
Internet ExplorerのFlash プラグインを無効にする
IEnhanced Mitigation Experience Toolkit(EMET)を使用する

今回のようなInternet Explorerに関する脆弱性が生じる危険性は、常にありますのでサブ用途として
Internet Explorer以外のWebブラウザを導入しておくことも必要ですね。