「Internet Explorer」にリモートコード実行の脆弱性 ～Microsoftがパッチをリリース（9月25日追記）

Windows 10 リリース情報

　米Microsoftは9月23日（現地時間）、「Internet Explorer」にリモートコード実行の脆弱性（CVE-2019-1367）が存在することを明らかにした。これに対処したセキュリティ更新プログラムがリリースされている。

　同社が公開したセキュリティアドバイザリによると、「Internet Explorer」のスクリプトエンジンにはメモリ破損の欠陥が存在する。攻撃者によってこの脆弱性が悪用されると、現在のユーザーと同じユーザー権限を取得されてしまう恐れがある。もしユーザーが管理者権限でOSにログインしているなら、「Internet Explorer」を標的に特別な細工を施したWebサイトへ誘導したり、メールに添付された悪意あるドキュメントを開かせるなどしてシステムを乗っ取り、マルウェアをインストールさせたり、データを自由に作成・閲覧・削除できるユーザーを作成される可能性がある。

　脆弱性の深刻度は、クライアントOSで“Critical”。ユーザーアカウントの権限が制限されているサーバーOSでは“Moderate”と評価されている。セキュリティ更新プログラムは現在のところ“Microsoft Update カタログ”や“Windows Server Update Services（WSUS）”からのみ提供されており、“Windows Update”からは入手不能。クライアントOSで対策を施す必要がある場合は、「JScript.dll」へのアクセスを制限するとよい。具体的な手順は、同社のセキュリティアドバイザリを参照のこと。

9月25日編集部追記： 9月24日（米国時間）より本問題に対処したセキュリティ更新プログラムを“Windows Update”からも入手できるようになった。