コンテンツ
セキュリティ情報
Internet Explorer の未修正の脆弱性に関する注意喚起(4/30追記)
2014年4月30日(水曜日)掲載
■概要
Microsoft Internet Explorer には未修正の脆弱性があります.結果として遠隔の第三者は,細工したコンテンツをユーザに開かせることで,任意のコードを実行させる可能性があります.マイクロソフト社によると,本脆弱性を悪用する標的型攻撃が確認されているとのことです.
■対象
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
- Microsoft Internet Explorer 10
- Microsoft Internet Explorer 11
■対策
2014年4月28日 (日本時間) 現在,マイクロソフト社よりセキュリティ更新プログラムは公開されていません.
■回避策
マイクロソフト社より,本脆弱性に関する複数の回避策が公開されています.セキュリティ更新プログラムを適用するまでの間の暫定対策として,以下の回避策のうちいずれかを適用するかどうか検討してください.
- Enhanced Mitigation Experience Toolkit (EMET) を使用する(ただし,EMET 3.0 では本脆弱性の影響を軽減することができません)
- インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し,これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする
- インターネットおよびイントラネット ゾーンで,アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する,または,アクティブ スクリプトを無効にするよう構成する
アドバイザリでは,レジストリの登録解除や,Internet Explorer 11 の拡張保護モードを利用した回避策なども紹介されています.各回避策についての詳細は,マイクロソフト セキュリティ アドバイザリ (2963983) を参照してください.
■回避策が行えない場合(4/30追記)
- Internet Explorerの使用は控え,他の脆弱性対策が完了している Web ブラウザを使用する
- Internet Explorerを使用しなければならない場合は,業務遂行上必要最小限にとどめる
■関連文書
Microsoft Corporation.
マイクロソフト セキュリティ アドバイザリ (2963983) Vulnerability in Internet Explorer Could Allow Remote Code Execution
関連情報 |
2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起(JPCERT/CC) |
お問い合わせ |
京都大学情報部情報基盤課セキュリティ対策掛
電話番号:075-753-7490(内線7490) E-mail:i-s-officeiimc.kyoto-u.ac.jp お問い合わせフォーム |