Skip to main content
MSRC

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

Japan Security Team
/ By Japan Security Team / / 20 min read

2014/5/2 更新: 本 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。

-—————————————————————————

このブログでは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明している脆弱性について、ユーザー別に推奨する回避策を記載しています。このブログでは、お客様環境に合わせて設定しやすい回避策を記載していますが、その他の回避策やすべての回避策を実施していただいても問題ありません。

■ 回避策

セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。

](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/IE_Workaround_Chart.png)

個人のお客様

※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。

Windows Vista をお使いのお客様:

VML の無効化を実施してください。

32 ビット (x86) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:

VML の無効化を実施してください。

64 ビット (x64) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:

  • Internet Explorer 10 以上を使用して拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。可能な場合は、Internet Explorer 10 以上を使用し、拡張保護モードを有効にしてください。
  • Internet Explorer 8 または Internet Explorer 9 を引き続きお使いのお客様は、VML の無効化を実施してください。
  • 64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。

Windows RT/RT 8.1 をお使いのお客様:

新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。

企業のお客様

Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様:

EMET の導入を実施することが最も効果が高い対策となります。すでに検証済み、または過去に導入したことがある場合などは、EMET の導入による回避を検討してください。

EMET の導入が難しい場合は、VML の無効化を実施してください。

32 ビット版の Windows 7 以降のオペレーティング システムをお使いのお客様:

上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。

64 ビット版の Windows 7 / Windows Server 2008 R2 以降のオペレーティング システムをお使いのお客様:

  • Internet Explorer 10 以上を使用して拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。可能な場合は、Internet Explorer 10 以上を使用し、拡張保護モードを有効にしてください。
  • Internet Explorer 8 または 9 を引き続きお使いのお客様は、上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。
  • 64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。

Windows RT/RT 8.1 をお使いのお客様:

新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。

回避策: 拡張保護モードを有効にする

Windows RT/Windows RT 8.1 および、64 ビット版の Windows 7 / Windows Serve 2008 R2 以降のオペレーティング システム上の Internet Explorer 10 および Internet Explorer 11 では、拡張保護モードを有効にすることで、現在確認している攻撃を防ぐことができます。

設定方法

  1. Internet Explorer を起動し、[ツール] ボタン (歯車マーク) から [インターネット オプション] を選択します。
  2. [詳細設定] タブをクリックし、[設定] の [セキュリティ] セクションまでスクロールします。
  3. Internet Explorer 10 の場合は、[拡張保護モードを有効にする] のチェックをオンにします。
  4. Internet Explorer 11 の場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (Windows 8 以降の x64 システムの場合) のチェックをオンにします。
    ](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/IE_Option.png)
  5. [OK] をクリックして [インターネット オプション] を閉じます。
  6. システムを再起動します。

回避策: EMET を導入する

Enhanced Mitigation Experience Toolkit (EMET) はマイクロソフトが無償で提供している、セキュリティ脆弱性緩和ツールです。以下の構成で、現在確認されている悪用を防ぐことを確認しています。

EMET 4.0: すべての緩和策、および、deephooks/antidetour を有効化

EMET 4.1: すべての緩和策、および、deephooks/antidetour を有効化

EMET 5.0 Technical Preview: ASR および EAF+ を含むすべての緩和策、および deephooks/antidetour を有効化

注意 : EMET 3 は緩和策として有効ではありません。

注意 : EMET を導入する際には、十分検証を行ってください。EMET により Windows 自体が強化され、脆弱性の悪用を防ぐことができますが、一部のプログラム (特に古いプログラム) との互換性に問題を生じる場合があります。ツールとともにダウンロードされるユーザーズガイド等を参照のうえ、十分に検証を行ってください。なお、EMET は今回の脆弱性だけでなく過去の脆弱性や今後の新規の脆弱性に対しても効果が期待できますので、導入されていない場合は今後の導入もご検討ください。

補足:EMET の回避策の設定について アドバイザリの回避策においては、EMET の既定の構成にて、攻撃の緩和が可能と示されています。
これに対して、ブログでは、既定の構成に加え、Deep Hook を有効にするようご案内しています。

これは、既定の設定で有効になっている Heapspray 緩和策によって最低限の攻撃は緩和できるためです。
しかしながら、Deep Hook を有効にすることで有効となる緩和策を有効にするほうが、より強固な緩和策となり、Heapspray の緩和策を迂回する攻撃を緩和する効果もあります。
このため、より強固な緩和策を備えるために、既定では有効ではない Deep Hook の設定を有効にしていただくことをブログ上では推奨しています。

設定方法

EMET は Enhanced Mitigation Experience Toolkit (EMET) からダウンロードできます。ダウンロード後は、ユーザーガイドに従って設定を行ってください。

*EMET 4.0 は Windows 8.1 および Windows Server 2012 R2 には対応していません。EMET 4.1/5.0 は現在サポートしているすべての OS で対応しています。

参考情報

EMET については、私たちのチームのブログでも解説しています。まだご存知のない方は、ぜひご確認ください。

・セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit

・日本のセキュリティ チーム ブログ「EMET 4.1 を公開~構成ファイルや管理機能の強化」「EMET 5.0 Technical Preview 公開しました」

回避策: Vector Markup Language (VML) を無効化する

ベクター画像の描画に利用される VML を無効化することで、現在確認されている悪用を防ぐことを確認しています。なお、本回避策を有効にした場合、アプリケーションやウェブサイトで VML を利用しているものは表示できない、などの影響が想定されますが、VML は Web では一般的なテクノロジーではなく通常の Web サイトで利用されていることが少ないこと、また Internet Explorer 9 以降には同様のベクター グラフィックを表示する Web 標準テクノロジーである SVG が搭載されているため、無効にした場合の直接的な影響は少ないと考えられます。

VML 無効化の手順

Windows Vista、Windows 7 の場合:

  1. [スタートボタン] - [すべてのプログラム] をクリックします。
  2. [アクセサリ] をクリックします。
  3. [コマンドプロンプト] を右クリックし、「管理者として実行」をクリックします。
  4. 入力するコマンドをコピーします。
    32 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” 64 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
    “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”
  5. [管理者: コマンド プロンプト] ダイアログボックスの左隅をクリックし、[編集] -[貼り付け] をクリックします。
  6. Enter キーをクリックします。
  7. ダイアログ ボックスが表示され、無効化が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
  8. [管理者: コマンド プロンプト] の右隅にある [X] をクリックして、ダイアログボックスを閉じます。
  9. 設定を有効にするために、Internet Explorer を再起動します。

Windows 8、Windows 8.1 の場合:

  1. Windows + X キーを押し、[コマンド プロンプト (管理者)] をクリックします。
  2. 入力するコマンドをコピーします。
    32 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” 64 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
    “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”
  3. [管理者: コマンド プロンプト] ダイアログボックスの左隅をクリックし、[編集] -[貼り付け] をクリックします。
  4. ダイアログ ボックスが表示され、無効化が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
  5. Enter キーを押します。ダイアログ ボックスが表示され、無効化が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
  6. [管理者: コマンド プロンプト] の右隅にある [X] をクリックして、ダイアログボックスを閉じます。
  7. 設定を有効にするために、Internet Explorer を再起動します。

VML 有効化の手順

VML を有効に戻したい場合は、以下の手順を実行します。

  1. コマンド プロンプトを管理者権限で開きます。
  2. 以下を入力します。
    32 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” 64 ビット版 Windows の場合: “%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
    “%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”
  3. ダイアログ ボックスが表示され、登録が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
  4. 設定を有効にするために、Internet Explorer を再起動します。

■ 関連リンク

日本のセキュリティチームのブログ

セキュリティ アドバイザリ 2963983「Internet Explore の脆弱性により、リモートでコードが実行される」

[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

Microsoft Security Response Center (MSRC) 公式ブログ

Microsoft releases Security Advisory 2963983 (英語情報)

Security Research and Defense 公式ブログ

More Details about Security Advisory 2963983 IE 0day (英語情報)

■ 更新履歴

2014/4/30 20:15: 企業のお客様の回避策に、サーバー OS の記述を追加しました。

2014/5/1 14:35: 回避策をまとめた表を追加しました。「Windows RT/RT 8.1 をお使いのお客様の場合」を追加しました。VML 無効化の手順に画像を追加し、明確化しました。手順に変更はありません。EMET の回避策に補足を追加しました。

Next Post

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.