Home > セキュリティ > IE8に脆弱性、やっとパッチ登場

IE8に脆弱性、やっとパッチ登場

1月18日にIE8(Internet Explorer 8)の脆弱性の報告がありました。そして、マイクロソフトから本日パッチがリリースされました。約4日、これは速いか遅いか??

いずれにしても悪意のある任意のコードが実行される脆弱性でしたので、IEを使っている人、たまにサブブラウザとして起動する人もアップデートしておきましょう。

以下、JPCERT/CCのメールを引用

Microsoft Internet Explorer には未修正の脆弱性があります。この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。

また、Microsoft 社では 2010年01月14日現在(米国時間)本脆弱性を使用する限定的な攻撃を確認しており、JPCERT/CC でも本脆弱性を使用する実証コードを確認しています。

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256

各位

JPCERT-AT-2010-0004
JPCERT/CC
2009-01-18(初版)
2010-01-22(更新)

< << JPCERT/CC Alert 2010-01-18 >>>

Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

Zero-day Vulnerability in Microsoft Internet Explorer

https://www.jpcert.or.jp/at/2010/at100004.txt

I. 概要

Microsoft Internet Explorer には未修正の脆弱性があります。この脆弱性
を使用された場合、結果として遠隔の第三者によって任意のコードを実行され
る可能性があります。
また、Microsoft 社では 2010年01月14日現在(米国時間)本脆弱性を使用する
限定的な攻撃を確認しており、JPCERT/CC でも本脆弱性を使用する実証コード
を確認しています。

マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx

II. 対象

対象となる製品とバージョンは以下の通りです。
- Microsoft Windows 2000 SP4 上の Internet Explorer 6 SP1
- Windows XP SP2/SP3 上の Internet Explorer 6,7,8
- Windows Server 2003 SP2 上の Internet Explorer 6,7,8
- Windows Vista、Windows Vista SP1,SP2 上の Internet Explorer 7,8
- Windows Server 2008、Windows Server 2008 SP2 上の Internet Explorer 7,8
- Windows 7 上の Internet Explorer 8

詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参照して
ください。

*** 更新: 2010年01月22日追記 *************************************
Microsoft 社によると Microsoft Outlook、Microsoft Outlook Express お
よび Windows メールなどのメールソフトで安全でないセキュリティ設定をして
いる場合に、HTML 形式の電子メールを閲覧すると、本脆弱性の影響を受ける可
能性があります。
******************************************************************

III. JPCERT/CCによる検証結果
JPCERT/CC では、公開されている実証コードを検証し、以下を確認していま
す。

【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム適用済み)
Internet Explorer 6.0.2900.5512

【検証結果】
上記環境にて実証コードを実行し、任意のプログラムが起動されることを
確認しました。また、DEP 機能を有効にすることで、任意のプログラムが
起動されないことを確認しました。

*** 更新: 2010年01月22日追記 *************************************
2010年01月22日に Microsoft 社よりセキュリティ更新プログラムが公開さ
れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな
くなることを確認しています。

【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム および
KB978207 適用済み)
Internet Explorer 6.0.2900.5512
******************************************************************

IV. 対策

2010年01月18日現在、Microsoft 社より本件に関するセキュリティ更新プロ
グラムは公開されておりません。

*** 更新: 2010年01月22日追記 *************************************
Microsoft 社よりセキュリティ更新プログラムが公開されました。

Microsoft Update、Windows Update などを用いて、セキュリティ更新プログ
ラムを早急に適用してください。

Microsoft Update
https://update.microsoft.com/

Windows Update
https://windowsupdate.microsoft.com/

******************************************************************

V. 軽減策

本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。シ
ステムへの影響などを考慮の上、軽減策の適用を検討してください。(各軽減策
についての詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参
照してください。)

・Internet Explorer 6 SP2 または Internet Explorer 7 で DEP 機能を有
効にする。
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
・アクティブ スクリプトを無効にする
・Windows Vista およびそれ以降の Windows の Internet Explorer 7,8 の
保護モードを使用する。

*** 更新: 2010年01月22日追記 *************************************
セキュリティ更新プログラムをインストールすることで、以上の軽減策は不
要となります。
******************************************************************

VI. 参考情報

*** 更新: 2010年01月22日追記 *************************************
MS10-002
Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx
******************************************************************

マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx

JVNVU#492515
Microsoft Internet Explorer において任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU492515/index.html

IPA
修正プログラム提供前のぜい弱性を悪用したゼロデイ攻撃について
http://www.ipa.go.jp/security/virus/zda.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2010-01-18 初版
2010-01-22 更新プログラムのリリースと再検証結果について追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
—–BEGIN PGP SIGNATURE—–

iQEcBAEBCAAGBQJLWRBLAAoJEDF9l6Rp7OBIJygH/iz2X24VOMtYklnzXnoByyGs
hTTg7rLXEH9xXzRi8JgOD1zZR9tU6jQgG/8vRsZNIPo8XSFJ68SfhYr7n6l+YAJ0
X4CnbP6K5fcjMYfhuHBPe/frakiO7gHUaf2s4tD57/xUOc7AA6dHIayr5UB2dEmZ
qqUpQEpl0nMhdovARD8YvRbm0i7dtdKuD8LHkZjiw+r1imcGzNSj5e49Hdg2VsEf
UV1Ub0j1dPne+CFfU75osOg7vmlz1b18yEurlNjHIkQLyRfYE+O5J6H9ZhQMfs9X
ZB6n1y2sqJhD0siiY+dwn8Ey9DwJYKkycBgaU1l+AdP7qvblXjcvnGfFYLACmWw=
=xs6w
—–END PGP SIGNATURE—–

Comments:0

Comment Form
Remember personal info

Trackback+Pingback:0

TrackBack URL for this entry
http://blog.ispace.co.jp/190/trackback/
Listed below are links to weblogs that reference
IE8に脆弱性、やっとパッチ登場 from おまかせブログ2.0

Home > セキュリティ > IE8に脆弱性、やっとパッチ登場

おまかせSearch
おまかせブログ 人気記事
おまかせFeeds
おまかせブログ Meta
おまかせLinks
おまかせPR
CoRichブログランキング
ブログランキング
blogram投票ボタン
This Page Counter: 5,836

Page Top