SecurityInsight | セキュリティインサイト

JPCERT/CC、Microsoft Internet Explorerの脆弱性に関して注意喚起

JPCERTコーディネーションセンター(JPCERT/CC)は9月24日、Microsoft Internet Explorerの脆弱性(CVE-2019-1367)に関するセキュリティ更新プログラムが公開されたことを受け、注意喚起を行なった。深刻度が「緊急」のセキュリティ更新プログラムが含まれており、脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあるとしている。マイクロソフトによると、この脆弱性の悪用を確認しているという。

対象となる製品およびバージョンは次のとおり。

Internet Explorer 11
- Windows 10 Version 1703 for 32-bit Systems (KB4522011)
- Windows 10 Version 1703 for x64-based Systems (KB4522011)
- Windows 10 Version 1803 for 32-bit Systems (KB4522014)
- Windows 10 Version 1803 for x64-based Systems (KB4522014)
- Windows 10 Version 1803 for ARM64-based Systems (KB4522014)
- Windows 10 Version 1809 for 32-bit Systems (KB4522015)
- Windows 10 Version 1809 for x64-based Systems (KB4522015)
- Windows 10 Version 1809 for ARM64-based Systems (KB4522015)
- Windows Server 2019 (KB4522015)
- Windows 10 Version 1709 for 32-bit Systems (KB4522012)
- Windows 10 Version 1709 for 64-based Systems (KB4522012)
- Windows 10 Version 1709 for ARM64-based Systems (KB4522012)
- Windows 10 Version 1903 for 32-bit Systems (KB4522016)
- Windows 10 Version 1903 for x64-based Systems (KB4522016)
- Windows 10 Version 1903 for ARM64-based Systems (KB4522016)
- Windows 10 for 32-bit Systems (KB4522009)
- Windows 10 for x64-based Systems (KB4522009)
- Windows 10 Version 1607 for 32-bit Systems (KB4522010)
- Windows 10 Version 1607 for x64-based Systems (KB4522010)
- Windows Server 2016 (KB4522010)
- Windows 7 for 32-bit Systems Service Pack 1 (KB4522007)
- Windows 7 for x64-based Systems Service Pack 1 (KB4522007)
- Windows 8.1 for 32-bit systems (KB4522007)
- Windows 8.1 for x64-based systems (KB4522007)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4522007)
- Windows Server 2012 (KB4522007)
- Windows Server 2012 R2 (KB4522007)

Internet Explorer 10
- Windows Server 2012 (KB4522007)

Internet Explorer 9
- Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4522007)
- Windows Server 2008 for x64-based Systems Service Pack 2 (KB4522007)

マイクロソフトから、アップデートに関する情報とともに、この脆弱性に対する回避策も説明されている。マイクロソフトによるとこの脆弱性はJScriptスクリプトエンジンにおけるメモリー破損の脆弱性に関するもので、jscript.dllへのアクセス権限を制限することで、脆弱性の影響を回避することができるという。

JPCERT/CCでは、Microsoft UpdateもしくはWindows Updateなどを用いてセキュリティ更新プログラムを早急に適用するよう呼びかけているが、jscript.dllへのアクセス制限を施すことでJScriptを利用するWebサイト等で影響が生じる可能性は考えられるため、回避策の適用にあたっては十分に影響範囲を考慮の上、実施するよう注意している。
 

関連リンク

プレスリリース