<2013/10/09 追記>
本セキュリティ アドバイザリで説明している脆弱性に対処するため、セキュリティ情報 MS13-080 を発行しました。利用可能なセキュリティ更新プログラムのダウンロード先など、この問題に関する詳細情報については、セキュリティ情報 MS13-080 を参照してください。
<2013/10/04 追記>
2013 年 10 月 9 日に公開を予定しているセキュリティ更新プログラムで、本セキュリティ アドバイザリで説明している脆弱性の問題を解決する予定です。
本日マイクロソフトは、セキュリティ アドバイザリ 2887505「Internet Explore の脆弱性により、リモートでコードが実行される」を公開しました。
このアドバイザリは、サポートされているすべてのバージョンの Internet Explorer において確認されている脆弱性の説明、および脆弱性から保護するための緩和策と回避策を提供しています。この脆弱性が悪用された場合、ユーザーが悪意のある WEB サイトを訪問した際に、リモートでコードが実行される可能性があります。
この脆弱性の悪用報告は、現在のところ Internet Explorer 8 および Internet Explorer 9 を対象とした標的型攻撃であり限定的ですが、アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。
■ 影響を受ける環境
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9
Internet Explorer 10
Internet Explorer 11
■ 回避策
セキュリティ更新プログラム公開までの間お客様の環境を保護するために、本脆弱性による攻撃を防ぐ Fix It ソリューションを提供開始しました。 現在、本脆弱性を悪用した攻撃が限定的な範囲ですが報告されておりますので、早期に対応するために、Fix It ソリューションの適用をお願いします。また、その他の回避策もご案内していますので、併せてご検討をお願いします。
回避策 Fix It 適用方法
- サポート技術情報 2887505 にアクセスします。
- 「有効にする」(Enable) に記載されている Fix It をクリックします (Fix It 51001)
3. ウィザードに従い実行します。(Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します)
4. 完了後、Internet Explorer を再起動します。
注意事項
-
この Fix it ソリューションを適用する前に、Internet Explorer に、最新のセキュリティ更新プログラムが適用されている必要されている必要があります。
-
Fix It 適用後は、Internet Explorer を再起動する必要があります。(OS の再起動は必要ありません)
-
Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します。
-
64 ビット版のオペレーティング システムを搭載しているコンピューターの場合、次の Fix it ソリューションは、32 ビット版の Internet Explorer にのみ適用されます。
-
問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。
補足事項
- Fix It ソリューションを無効にするには、サポート技術情報 2887505 にアクセスし、「無効にする」(Disable) の Fix It (Fix It 51002) を実行します。
■ 問題を緩和する要素
- 既定で、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。このモードは、この脆弱性の影響を緩和します。
- 既定で、すべてのサポートされているバージョンの Microsoft Outlook、Microsoft Outlook Express および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはスクリプトおよび ActiveX コントロールを無効にし、この脆弱性を悪用して悪意のあるコードを実行しようとする攻撃のリスクを排除するのに役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃のシナリオで悪用された脆弱性の影響を受ける可能性があります。
- この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
- Web ベースの攻撃のシナリオで、攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよびユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。そのかわり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。
■ 緩和策: EMET について
緩和策としてご案内している Enhanced Mitigation Experience Toolkit (EMET) というツールを利用することで、ユーザーが悪意のある WEB サイトを訪問した場合でも、この脆弱性の悪用 (コード実行) を防ぐことができます。EMET については、私たちのチームのブログでも解説をご用意しています。まだご存知のない方は、ぜひこの機会に導入をご検討ください。
セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit」
日本のセキュリティ チーム ブログ 「脆弱性緩和ツール EMET 4.0 リリース」
日本のセキュリティ チーム ブログ 「EMET 4 日本語版ユーザー ガイドを公開しました」
■ 参考リンク
Microsoft Security Response Center (MSRC) ブログ
Microsoft Releases Security Advisory 2887505
Security Research and Defense ブログ