NEWS(10/12/14 14:27)

JPCERT/CC、「Internet Explorer」にゼロデイ脆弱性が存在することを発表

IE6/7/8に影響、対策済みの更新プログラムが配布されるまでは各自回避策を

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は14日、「Internet Explorer」(以下、IE)に脆弱性が存在すると発表した。すでに本脆弱性を悪用した攻撃コードが確認されているが、執筆時現在対策方法は存在しない。

 本脆弱性の内容は、CSSを処理する際に解放済みメモリを使用してしまうというもので、IE6/7/8に影響する。最悪の場合、細工が施されたHTML文書を閲覧した際に、閲覧したユーザの権限で任意のコードが実行される恐れがある。

DEP機能を有効に DEP機能を有効に

 なおJPCERT/CCによると、DEP(Data Execution Prevention)機能を有効にする(DEP対応環境では通常有効になっている)、“インターネットオプション”の[セキュリティ]タブにある“インターネット”ゾーンのセキュリティ設定を“高”にする、“アクティブ スクリプト”をOFFにするといった対策を講じることで、脆弱性の影響を軽減できるという。脆弱性に対応した更新プログラムが配布されるまで、これらの回避策をとることをお勧めする。

IEの[ツール]−[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる IEの[ツール]−[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる IEの[ツール]−[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる

[セキュリティ]タブを開き、“インターネット”ゾーンを選択。セキュリティレベルのスライダーを“高”へ [セキュリティ]タブを開き、“インターネット”ゾーンを選択。セキュリティレベルのスライダーを“高”へ

[レベルのカスタマイズ]ボタンを押すと現れるダイアログ上で、“アクティブ スクリプト”を“無効にする”へセットしてもよい [レベルのカスタマイズ]ボタンを押すと現れるダイアログ上で、“アクティブ スクリプト”を“無効にする”へセットしてもよい

(柳 英俊)