▼ 2013/01/01(火) Internet Explorer 6、7、8 に重大な欠陥、悪用を確認
Internet Explorer (IE) 6、7、8 に重大な欠陥があり、既に悪用されていることが確認されました。IE 6、7、8を使って攻略 Web ページを閲覧すると、自動的にウイルスが実行されてしまいます。IE 9、10 にはこの欠陥はありません。よって、既定で IE 10 がインストールされている Windows 8、Server 2012 にはこの欠陥はありません。
- JVNVU#92426910 - Internet Explorer に任意のコードが実行される脆弱性 (JVN)
- Microsoft Security Advisory (2794220) Vulnerability in Internet Explorer Could Allow Remote Code Execution (Microsoft)
更新プログラムは現在開発中です。次の回避方法があります。
- IE 9 にアップグレードする。Windows Vista、Server 2008、7、Server 2008 R2 では IE 9 にアップグレードすることでこの欠陥を回避できます。アップグレード後に、Microsoft Update などを用いて最新の更新プログラムを適用してください。
また次の緩和策があります。
- 代替ブラウザを利用する。IE のかわりに、Firefox や Chrome、Opera などの代替ブラウザを使用することで、この欠陥を回避できます。ただし IE のソフトウェアコンポーネントを利用するアプリケーションには影響が残ります。
- Enhanced Mitigation Experience Toolkit (EMET) を使用する。EMET については2012年9月18日のエントリを参照してください。
Windows XP、Server 2003 においては IE 9 にアップグレードできません。上記緩和策を両方とも実施することを推奨します。
2013年1月2日追記
この欠陥に対する Fix it ソリューションが公開されました。IE 6、7、8 の利用者は Microsoft Fix it 50971 を適用してください。Fix it のダウンロード等については KB 2794220 を参照してください。
- マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft KB 2794220)
2013年1月11日追記
Fix it ソリューションでは防ぐ事ができない攻略プログラムが確認されました。ひきつづき、上記緩和策を両方とも実施することを推奨します。
- Microsoft Internet Explorerにおけるmshtml CDwnBindInfoオブジェクトのメモリ利用不備により任意のコードが実行される脆弱性(CVE-2012-4792)に関する検証レポート (NTTデータ先端技術)
2013年1月15日追記
更新プログラムが公開されました: MS13-008 - 緊急:Internet Explorer 用のセキュリティ更新プログラム (2799329) (Microsoft)
Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。
Fix it ソリューション 50971 を適用している場合は、更新プログラムのインストール後に、Fix it ソリューション 50972 を適用して効果を解除してください。Fix it のダウンロード等については KB 2794220 を参照してください。
- マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft KB 2794220)
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/0527/tb/