ニュース

「Internet Explorer」にゼロデイ脆弱性、Microsoftは2月の月例セキュリティ更新で対処

古いスクリプトエンジン「jscript.dll」のメモリ破損でリモートコード実行、悪用も確認

Microsoftが発表したセキュリティレポート

 米Microsoftは1月17日(現地時間)、「Internet Explorer」に未修正の脆弱性(CVE-2020-0674)が存在することを明らかにした。すでに悪用も確認されており、19日(日本時間)にはJPCERT/CCからの注意喚起も行われている。

 脆弱性の内容は「Internet Explorer」のスクリプトエンジン(JScript)でメモリ破損が起こるというもので、先日話題となった「Firefox 72」のゼロデイ脆弱性と同様、中国のセキュリティベンダー・奇虎(Qihoo)360によって報告された。最悪の場合、リモート攻撃によって任意のコードが実行される恐れがある。影響のある製品は、以下の通り。

  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

 同社は、本脆弱性の深刻度をクライアントOSで“Critical”と評価しているが、標的となっているのは互換性のために残されている「jscript.dll」で、既定で利用されている「jscript9.dll」はこの脆弱性の影響を受けない。そのためか、修正パッチの提供はまだ行われておらず、次回の月次セキュリティ更新(パッチチューズデー)にずれ込む見込みだ。それまでは念のため、フィッシングサイトへの誘導や細工を施した添付ファイルを開かせようとする攻撃に警戒した方がよいだろう。

 なお、サーバーOSではスクリプトの実行が既定で制限モードになっているため、大きな脅威となることは考えにくく“Moderate”と評価されている。必要があればレジストリを編集して「jscript.dll」へのアクセスを制限するといった緩和策をとる必要があるが、パッチの適用前に元の状態へ戻しておく必要があるので注意したい。