NEWS(10/12/14 14:27)
JPCERT/CC、「Internet Explorer」にゼロデイ脆弱性が存在することを発表
IE6/7/8に影響、対策済みの更新プログラムが配布されるまでは各自回避策を
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は14日、「Internet Explorer」(以下、IE)に脆弱性が存在すると発表した。すでに本脆弱性を悪用した攻撃コードが確認されているが、執筆時現在対策方法は存在しない。
本脆弱性の内容は、CSSを処理する際に解放済みメモリを使用してしまうというもので、IE6/7/8に影響する。最悪の場合、細工が施されたHTML文書を閲覧した際に、閲覧したユーザの権限で任意のコードが実行される恐れがある。
DEP機能を有効に
なおJPCERT/CCによると、DEP(Data Execution Prevention)機能を有効にする(DEP対応環境では通常有効になっている)、“インターネットオプション”の[セキュリティ]タブにある“インターネット”ゾーンのセキュリティ設定を“高”にする、“アクティブ スクリプト”をOFFにするといった対策を講じることで、脆弱性の影響を軽減できるという。脆弱性に対応した更新プログラムが配布されるまで、これらの回避策をとることをお勧めする。
![IEの[ツール]-[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる](/img/wf/docs/414/141/html/image1.jpg.html)
![IEの[ツール]-[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる](/img/wf/docs/414/141/html/image2.jpg.html)
IEの[ツール]-[インターネット オプション]メニューを選択。メインメニューが表示されていない場合は[Alt]キーで表示可能。また、コントロールパネルからも開くことができる
![[セキュリティ]タブを開き、“インターネット”ゾーンを選択。セキュリティレベルのスライダーを“高”へ](/img/wf/docs/414/141/html/image3.jpg.html)
[セキュリティ]タブを開き、“インターネット”ゾーンを選択。セキュリティレベルのスライダーを“高”へ
![[レベルのカスタマイズ]ボタンを押すと現れるダイアログ上で、“アクティブ スクリプト”を“無効にする”へセットしてもよい](/img/wf/docs/414/141/html/image4.jpg.html)
[レベルのカスタマイズ]ボタンを押すと現れるダイアログ上で、“アクティブ スクリプト”を“無効にする”へセットしてもよい