Endpoint Protection

 View Only

Internet Explorer にパッチ未公開のゼロデイ脆弱性 

Apr 27, 2014 10:46 PM

zero_day_IE_concept.png

シマンテックは、すべてのバージョンの Internet Explorer に影響するゼロデイ脆弱性(CVE-2014-1776)が報告されていることを確認しています。

Microsoft 社は、限定的な標的型攻撃に悪用されている Internet Explorer の脆弱性についてセキュリティアドバイザリ(2963983)を公開しました。この脆弱性に対するパッチはまだ提供されていません。また、このブログの執筆時点で、パッチのリリース予定日も公表されていません。

シマンテックでテストしたところ、この脆弱性によって Windows XP 上の Internet Explorer がクラッシュすることを確認しています。Microsoft 社は 2014 年 4 月 8 日(日本時間の 2014 年 4 月 9 日)をもって Windows XP のサポートを終了しているため、これは Windows XP ユーザーにパッチが提供されない初のゼロデイ脆弱性となります。ただし、Microsoft 社はEnhanced Mitigation Experience Toolkit(EMET)4.1 以降のバージョンによって、Internet Explorer に影響するこの脆弱性が緩和され、EMET を Windows XP 上でも使用できることを公表しています。シマンテックセキュリティレスポンスは、EMET を使うことに加えて、Microsoft 社からパッチが提供されるまでは、一時的に別の Web ブラウザを使用することを推奨します。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

詳しいことがわかり次第このブログでお伝えします。

 

更新情報 - 2014 年 4 月 28 日:

Microsoft Internet Explorer のリモートコード実行の脆弱性(CVE-2014-1776)を緩和するために、シマンテックは次の処理を行うことを推奨します。

Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)4.1 以降のバージョンによって、Internet Explorer に影響するこの脆弱性を緩和できることを公表しています。EMET は Windows XP 上でも使用できます。EMET を使用できない場合は、VGX.DLL という名前の DLL ファイルの登録を解除することで、この問題を緩和することも可能です。この DLL によって Internet Explorer 上でベクトルマークアップ言語(VML)がサポートされますが、これは大多数のユーザーにとって必須のものではありません。ただし、DLL の登録を解除すると、この DLL を使用するアプリケーションが正しく動作しなくなる可能性があるのに加え、システムにインストールされているアプリケーションによって、DLL が再登録されてしまう可能性もあります。この点を念頭に置いて、以下の命令を実行することで、この脆弱性を悪用しようとする攻撃からシステムを守ることができます。この命令は、脆弱性の影響を受けるすべての Windows オペレーティングシステムで使用できます。

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

シマンテックは、大規模な IT インフラの管理者向けに、このタスクを実行するためのバッチファイルを作成しました。

bat_icon.png

注: ファイルの拡張子を .bat に変更する必要があります。

このバッチファイルを使用すると、DLL ファイルの現在の状況を検証し、必要に応じて DLL の登録を解除することができます。バッチファイルに書かれているスクリプトは非常に単純なものなので、これをベースに特定のシステム環境での用途に合わせてコードをカスタマイズすることができます。

この脆弱性を緩和するために特別なツールは必要ありませんが、今後発生する脆弱性について、上記で提供しているような推奨処理が利用できない可能性があります。Windows XP などサポートが提供されないオペレーティングシステムは、できるだけ速やかに、サポート対象のバージョンに置き換えることを推奨します。

 

更新情報 - 2014 年 5 月 2 日:
Microsoft 社は、この脆弱性に対処するために緊急のセキュリティ更新プログラムをリリースしました。詳しくは、Microsoft 社のセキュリティアドバイザリを参照してください。

Out-of-Band Release to Address Microsoft Security Advisory 2963983

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.