パスワードを忘れた? アカウント作成
14091790 story
インターネットエクスプローラ

Microsoft、Internet Explorerのゼロデイ脆弱性を公表 32

ストーリー by headless
脆弱 部門より
Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した( セキュリティアドバイザリSoftpediaの記事)。

CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されており、攻撃者が電子メールなどを通じて特別に細工したWebサイトにアクセスするようターゲットを誘導するといったシナリオが提示されている。

回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9~11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。
  • by Anonymous Coward on 2020年01月19日 14時46分 (#3747518)

    「互換表示やエンタープライズモードでIE8以下相当の表示になっているとき」くらい具体的に書いたほうがいいのでは

    ここに返信
    • by Anonymous Coward

      「提示されてる対応策を適用した際に機能不全を起こすサイト」
      な訳だから説明はほしいよね。

  • by Anonymous Coward on 2020年01月19日 14時12分 (#3747506)

    関連にもズラッとあるけど、ゼロデイ脆弱性って用語は正しいのですか?
    対策、公表前に受ける攻撃をゼロデイ攻撃て言うんだったと思いますが、脆弱性にゼロデイもなにもないような気がするのですが。

    ここに返信
    • by Anonymous Coward on 2020年01月19日 16時54分 (#3747548)

      言われて気になったが、これはこれで正しい用語と考えて良いと思った。
      現時点で対策アップデートが未提供である脆弱性はそう呼んで差し支えないように思う。
      この脆弱性はまだOne deyを迎えていない、すなわちゼロデイのものである。

      今回の場合、アップデートよりも脆弱性告知を先行せざるを得ない状況であり、ソフトウェアのアップデートで対策することができない種別のもの。
      その点を強調するための用語として「ゼロデイ脆弱性」は便利なものではある。

    • by Anonymous Coward

      ゼロデイなんてもともとハッカーの俗語なんだから、普及したもん勝ちだろ

      Wikipediaには、脆弱性を攻撃者が知った日のことを”day zero"、そのことから
      そういう脆弱性のことを”zero-day"って呼ぶようになったって書いてある
      ゼロデイにつけいって攻撃するのがゼロデイ攻撃

      出典は知らね

    • by Anonymous Coward

      忘れられる権利の主張ですか?

    • by Anonymous Coward

      IPAのサイトにもいちおう用例はあるな
      https://www.ipa.go.jp/files/000053731.pdf#page=4 [ipa.go.jp]

    • by Anonymous Coward

      被害数はまだゼロでぃ

  • by Anonymous Coward on 2020年01月19日 15時20分 (#3747527)

    こんな事、年老いた母に言えるか?
    だからパソコンは止めさせてiPadにした。

    ここに返信
    • by Anonymous Coward on 2020年01月19日 15時44分 (#3747534)

      iOSならセキュリティざるだから諦めがつくからか。

      • by Anonymous Coward

        FBIに持って行かれない限り大丈夫

        • by Anonymous Coward

          前に、あるウェブを閲覧するだけでJailbreakできるような脆弱性があった記憶がある。
          脆弱性をなめない方がいいぜ。

    • by Anonymous Coward

      PCに明るくない家族にIEを使わせるなんて虐待だろ

      • by Anonymous Coward

        PCに明るくない社員にIEを使わせる企業はどうなんでしょうか。

    • by Anonymous Coward

      普通の人はアップデートが出たら当てて、古くなったら買い換える。これだけで良いと思う。
      PCからiPadにするのは煩雑な設定なんかから解放される意味では効果がある(引き換えに細かいところに手が回りにくくなる)けど、iPadにしたからといって前述の事をおろそかにすれば、同じようなことになる。

    • by Anonymous Coward

      君のお母さんはWin10にわざわざIE入れて運用していて、なおかつターゲット型攻撃の標的になるような立場なのかい?
      それともサポ切れの7以下OSでも使っているの?

      まぁターゲット型攻撃以外でも使われうるのだから標的になる事情が無ければ安全って訳ではないが、
      いまどき敢えてIE使ってる時点で素のまま使うユーザでは無いだろう。

    • by Anonymous Coward

      デフォルトはEdgeなんじゃ・・・
      # あれも、IMEが突然無効になったりするので、
      # 使いづらくはあるけど・・・

  • by Anonymous Coward on 2020年01月19日 14時23分 (#3747508)

    詐欺サイトに誘導するのであればそもそもスクリプトからウェブブラウザを開けばいい。
    そもそもjavascriptはウェブサイトの一部として実行されるのでストレートに詐欺サイトへのリンクをばらまくともっと楽。
    わざわざメーラーを起動して云々なんて回りくどいことをするメリットはどこにあるの?

    ここに返信
    • by Anonymous Coward

      くそリンクをばらまいて運良く美味しい獲物が釣れるのを待つなんて、そんな回りくどいことをするメリットがない

      今はあらかじめターゲットを絞り込んだスピア型の攻撃がイケてるって数年前に聞いた

      最新の流行はどうなのよ?

    • by Anonymous Coward

      何か根本的に勘違いしてるな

      • by Anonymous Coward

        たしかに実に恥ずかしい勘違いをしていましたね。
        ただメールで悪意のあるウェブサイトに誘導するなんて手口を紙幅割いて態々書くことかとは思いますが。

        • by Anonymous Coward

          (明言はされてないけど)実際に確認された攻撃がそういう手口を使っていたから紙幅割いて態々書いてるんじゃないの

        • by Anonymous Coward

          どんな例を挙げたって同じこと言ってたろうに、例を書くなと?

          それこそ、もう黙ってりゃいいのに

  • by Anonymous Coward on 2020年01月19日 14時27分 (#3747509)

    インターネットゾーンの
    スクリプトを含む種々を無効にしておけば
    ブラウザ上からのアタックは防げるので
    最終更新でそうすればよかったのに

    批判は出るだろうけど
    サポート終了ってことで
    理解得られたんじゃないかな
    今からでも小出し感あるけど
    まだ行けそうな気もする

    信頼済みゾーンやイントラネットゾーンは強制的にいじらず
    そこでの被害は自ら設定した自己責任ってことで

    問題はページアクションにおけるファイルダウンロードとリモートフォントですかね
    これらは各ゾーンに設定があるにも関わらず
    インターネットゾーンの該当箇所を有効にしない限り
    どこのゾーンでも機能しない

    そのアクションのみインターネットゾーンで行われている仕様は
    おそらく権限分離のセキュア機構として実装されたのでしょうが
    運用上では却って危険な機構になってしまっている

    イントラネットゾーンでファイルとフォント扱いたいから
    インターネットゾーンで有効にしなければならない
    という本末転倒な自体になっている

    昔からある不具合的困った仕様なので
    ここの扱いのみ厄介ではあるけれど
    インターネットゾーンのデフォルト中設定のまま放置よりは
    マシになるんじゃないかと思われ

    ここに返信
    • by Anonymous Coward

      サポート終了時にとどめを刺して使えなくすることが適切なのか?

      • by Anonymous Coward

        それが正しいなら、メーカーがサポートする気のないスマホは文鎮化すべきということになるな
        (サムスンが安全性を優先してリコールを無視したユーザの端末を文鎮化させたことならあるが)

    • by Anonymous Coward

      IEはWindows 10でもサポートされているので。それにwebブラウザーを通すからリモート攻撃可能な脆弱性になるだけで、jscript.dllはWindows Scripting Host等でも使われている

    • by Anonymous Coward

      Windows Serverのどこも見れないIEみたいなやつか。

  • by Anonymous Coward on 2020年01月20日 10時53分 (#3747793)

    回避策をとった状態で古のSpartan-6のコードメンテの仕事が降ってきて
    PlanAheadで合成したらツールが動かない。ふとコンソールを見ると
    jscriptなんたらとエラーが出てたので仕方なしに回避策を無効にしたら
    正常に合成出来るようになった。

    面倒なところで使われてるものだorz

    ここに返信
    • by Anonymous Coward

      WSHが呼び出すのがjscript.dllだったと思う。

      WSHでjscript9.dllを使う方法もあるにはあるんだけど。

      • by Anonymous Coward

        レジストリ設定しておかないとIE7相当になってjscript.dllでしたっけ。
        ScriptControl経由でむやみにクローリングするようなコードを書いてたら多少あぶないかも。

        "htmlfile"(mshtml.dll)は大丈夫かな?

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...