ネットワークセンターからのお知らせ


Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起


学内ユーザー 各位

                                    ネットワークセンター

   Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

 ニュース、新聞等で報道されておりますとおり、Microsoft(マイクロソフト)
は現地時間2014年4月26日、同社のWebブラウザーInternet Explorer(IE) 6〜11に、
標的型攻撃に悪用されうる脆弱性があると公表しました。

現時点でセキュリティーパッチは存在しておらず。Microsoftは月例のセキュリティー
更新プログラムでパッチを配布する予定としています。(5月中旬予定)
パッチ更新の情報が入りましたら、改めてご連絡いたします。

現状通り、疑わしいメールに添付されたURLへのアクセスや、怪しいサイトへの
アクセスは、行わないようお願いいたします。

                                              以上

---------------------------以下JPCERTからの注意喚起------------------------------

各位

JPCERT-AT-2014-0018
JPCERT/CC
2014-04-28

<<< JPCERT/CC Alert 2014-04-28 >>>

2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2014/at140018.html


I. 概要

Microsoft Internet Explorer には未修正の脆弱性があります。結果として
遠隔の第三者は、細工したコンテンツをユーザに開かせることで、任意のコー
ドを実行させる可能性があります。

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

マイクロソフト社によると、本脆弱性を悪用する標的型攻撃が確認されてい
るとのことです。


II. 対象

対象となる製品とバージョンは以下の通りです。

- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
- Microsoft Internet Explorer 10
- Microsoft Internet Explorer 11

詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照し
てください。


III. 対策

2014年4月28日 (日本時間) 現在、マイクロソフト社よりセキュリティ更新
プログラムは公開されていません。


IV. 回避策

マイクロソフト社より、本脆弱性に関する複数の回避策が公開されています。
セキュリティ更新プログラムを適用するまでの間の暫定対策として、回避策を
適用するかどうか検討してください。また回避策を適用する場合は、システム
への影響など事前に検証の上実施してください。

- Enhanced Mitigation Experience Toolkit (EMET) を使用する
Enhanced Mitigation Experience Toolkit
https://support.microsoft.com/kb/2458544
※ ただし、EMET 3.0 では本脆弱性の影響を軽減することができません

- インターネットおよびローカル イントラネット セキュリティ ゾーンの
設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよび
アクティブ スクリプトをブロックする

- インターネットおよびイントラネット ゾーンで、アクティブ スクリプト
の実行前にダイアログを表示するように Internet Explorer を構成する、
または、アクティブ スクリプトを無効にするよう構成する

アドバイザリでは、レジストリの登録解除や、Internet Explorer 11 の拡
張保護モードを利用した回避策なども紹介されています。各回避策についての
詳細は、マイクロソフト セキュリティ アドバイザリ (2963983) を参照して
ください。


V. 参考情報

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

Microsoft
Microsoft releases Security Advisory 2963983
http://blogs.technet.com/b/msrc/archive/2014/04/26/microsoft-releases-security-advisory.aspx

Microsoft
More Details about Security Advisory 2963983 IE 0day
http://blogs.technet.com/b/srd/archive/2014/04/26/more-details-about-security-advisory-2963983-ie-0day.aspx

Vulnerability Note VU#222929
Microsoft Internet Explorer use-after-free vulnerability
https://www.kb.cert.org/vuls/id/222929
-----------------------------------------------------------------------------