IEで脆弱性が発見される。Windows XPの修正パッチは予定なし

そうそろかとは思っていましたが、出てきましたね。

IEとはINTERNET EXPLORER、Windowsの標準のブラウザのことです。
このIEにゼロデイアタックがされる脆弱性が発見されました。
バージョンはIE6からIE11、OSもWindows 8.1やWindows Server 2012などほぼすべてのWindows OSで、今年の4月8日にサポートが終了されたWindows XPも当然含まれます。

シマンテックのブログによると

シマンテックは、すべてのバージョンの Internet Explorer に影響するゼロデイ脆弱性(CVE-2014-1776)が報告されていることを確認しています。

Microsoft 社は、限定的な標的型攻撃に悪用されている Internet Explorer の脆弱性についてセキュリティアドバイザリ(2963983)を公開しました。この脆弱性に対するパッチはまだ提供されていません。また、このブログの執筆時点で、パッチのリリース予定日も公表されていません。

シマンテックでテストしたところ、この脆弱性によって Windows XP 上の Internet Explorer がクラッシュすることを確認しています。Microsoft 社は 2014 年 4 月 8 日(日本時間の 2014 年 4 月 9 日)をもって Windows XP のサポートを終了しているため、これは Windows XP ユーザーにパッチが提供されない初のゼロデイ脆弱性となります。ただし、Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)4.1 以降のバージョンによって、Internet Explorer に影響するこの脆弱性が緩和され、EMET を Windows XP 上でも使用できることを公表しています。シマンテックセキュリティレスポンスは、EMET を使うことに加えて、Microsoft 社からパッチが提供されるまでは、一時的に別の Web ブラウザを使用することを推奨します。

とのことです。

この結果、どういうことが起きるのかというと

 脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにIEがアクセスする方法に存在する。悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザーをだましてメールなどのリンクをクリックさせたりする手口を通じて不正なコンテンツを仕込んだWebサイトを閲覧させ、リモートで任意のコードを実行される恐れがあるという。

http://www.itmedia.co.jp/news/articles/1404/28/news017.html

最近のネットバンク不正送信はマルウェアによるものが多いのですが、この手法を使えば、IEを使っていればマルウェアに感染していなくても、不正送金が可能になります。

まずは、IEの利用を極力控えることです。
もし、使う場合は以下の情報を参考にしてご利用ください。

マイクロソフト社より、本脆弱性に関する複数の回避策が公開されています。
セキュリティ更新プログラムを適用するまでの間の暫定対策として、回避策を
適用するかどうか検討してください。また回避策を適用する場合は、システム
への影響など事前に検証の上実施してください。

– Enhanced Mitigation Experience Toolkit (EMET) を使用する
Enhanced Mitigation Experience Toolkit
https://support.microsoft.com/kb/2458544
※ ただし、EMET 3.0 では本脆弱性の影響を軽減することができません

– インターネットおよびローカル イントラネット セキュリティ ゾーンの
設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよび
アクティブ スクリプトをブロックする

– インターネットおよびイントラネット ゾーンで、アクティブ スクリプト
の実行前にダイアログを表示するように Internet Explorer を構成する、
または、アクティブ スクリプトを無効にするよう構成する

アドバイザリでは、レジストリの登録解除や、Internet Explorer 11 の拡
張保護モードを利用した回避策なども紹介されています。各回避策についての
詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照して
ください。

http://www.jpcert.or.jp/at/2014/at140018.html

なお、WindowsXPには、この脆弱性を修正するパッチは配布されない模様です。
こうやって、Windows XPは穴だらけのOSになっていくのです。

まだXPをご利用の方は、当HPのここを参照してください。

  • このエントリーをはてなブックマークに追加
Posted on by 高辻 佑規 Categories: blog