こんにちは。セキュリティレスポンス チームです。
日本時間の今朝、Internet Explorer の脆弱性に関する セキュリティ アドバイザリ 2458511 を公開しました。この脆弱性の主な影響は「リモートでのコード実行」で、サポートされるすべてのバージョンの IE が影響を受けます。現在のところ、限定的な攻撃を確認しています。
セキュリティ更新プログラムを公開する予定ですが、公開までの間、アドバイザリ に記載の回避策を検討してください。回避策にも含まれていますが、Internet Explorer 7 に対して DEP を有効にする (IE8 は既定で有効)、またマイクロソフトが公開した Enhanced Mitigation Experience Toolkit (EMET) を使用して DEP を有効にすることもできます。
EMET については、この Blog で一度も紹介していませんでしたが、簡単に説明すると、ASLR や DEP などのセキュリティ緩和技術 (計 6 つ) を、古い OS や任意のアプリケーションなどに対し設定できるツールです。今年 9 月に公開した V2.0 では GUI が追加されているので操作がより視覚的です。勿論、コマンドベースもサポートしているので、社内環境で複数台に設定を行う場合などはログオンスクリプト等としてクライアントに配布できます。
コマンドベースで IE に対して EMET を有効にする方法
64 ビット版システム上の 32 ビット版の IE - 昇格されたコマンド プロンプトで下記を実行
<span style="font-family: 'Lucida Console'; font-size: 8.5pt;">"c:\Program Files (x86)\EMET\EMET_Conf.exe"--add "c:\Program Files (x86)\Internet Explorer\iexplore.exe"<o:p></o:p></span>
注 : 32 ビット版システムでは、EMET のパスは c:\Program Files\EMET\EMET_Conf.exe で IE のパスは c:\Program Files\Internet Explorer\iexplore.exe です。
64 ビット版の IE - 昇格されたコマンド プロンプトで下記を実行
<span style="font-family: 'Lucida Console'; font-size: 8.5pt;">"c:\Program Files (x86)\EMET\EMET_Conf.exe"--add "c:\Program Files\Internet Explorer\iexplore.exe"<o:p></o:p></span>
設定するアプリケーションに対する互換性テストは必須ですが、EMET は、実質的に、いつ・誰が・どの言語で開発したアプリケーションであろうが適用できるため、ソースコードがこの世に存在しないようなアプリケーションに DEP や ASLR などを導入することができます。ちなみに、EMET が有効に機能した場合 (EMET が攻撃を防御した場合) プロセス自体をクラッシュさせて、脆弱性の悪用を阻止します。サービスを停止できないサーバー製品ではなかなか実装は現実的ではないかもしれませんが、ビジネスリスクが高いアプリケーション (バックエンドの RoB アプリや Executive の Web ブラウザなど) に対する応急処置としては非常に有効です。
EMET 2.0 ダウンロードはこちら (英語版。ただしすべての言語で使用可)
EMET については、追って日本語での詳しい情報提供をしたいと思います。乞うご期待!