ニュース
JVN、「Internet Explorer 10」に未修正のゼロデイ脆弱性が存在することを公表
HTML文書を閲覧すると任意のコードを実行されてしまうおそれ
(2014/2/17 20:21)
脆弱性対策情報ポータルサイト“JVN”は17日、Webブラウザー「Internet Explorer 10」に未修正の脆弱性が存在することを公表した。すでに同脆弱性を利用した攻撃が観測されており、攻撃用のコードも公開されているという。
脆弱性の詳細は、解放済みメモリ使用の脆弱性により、HTML文書を閲覧すると任意のコードを実行されてしまうというもの。JVNの脆弱性分析結果では“緊急”に分類されている。またデンマークのセキュリティベンダーSecuniaでも同脆弱性が報告されており、Secuniaの深刻度は最悪の“Extremely critical”となっている。
JVNによると、「Internet Explorer 9」も同脆弱性の影響を受ける可能性があるという。Microsoftによる公式のパッチ等は公開されていないが、「Internet Explorer 11」を利用したり、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することで、現在確認されている攻撃は無効化できるとのこと。
URL
- JVNVU#96727848: Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
- http://jvn.jp/vu/JVNVU96727848/
- Security Advisory SA56974 - Microsoft Internet Explorer CMarkup Use-After-Free Vulnerability - Secunia
- http://secunia.com/advisories/56974/
- Enhanced Mitigation Experience Toolkit (EMET) - 窓の杜ライブラリ
- http://www.forest.impress.co.jp/library/software/emet/
(長谷川 正太郎)