読者です 読者をやめる 読者になる 読者になる


Internet Explorerの脆弱性情報 2963983についてのまとめと雑感

Security windows

今月XPのサポートが終了し、日本では長期休暇に入るタイミングで脆弱性の情報が公開されました。それもIE6からIE11と今あるすべてのバージョンが対象。(IE6についてはまだサポートが残っているWindows Server 2003で利用できるので載っているようです)

MSからセキュリティアドバイザリも公開されて対応方法が書かれていましたが現時点ではIEのセキュリティの設定を高にするかEMET(どちらも今までより制限が増えて使いづらくはなる)以外にはIEを使わないという選択肢しかないように思います。

恐らく修正プログラムが公開されますが現時点ではいつになるのかはまだわかりません。

 

では何が怖いのか

コードの埋め込まれたWebサイトを見に行くだけでコードが実行されてしまう

コードが実行されることでPCの情報が抜かれる可能性 等

 

ゼロデイ攻撃が確認されているという事は改ざんされたサイトがどこかに存在する可能性があるという事。

 

現在の情報リンク 

◆2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起

http://www.jpcert.or.jp/at/2014/at140018.html

 

追記3 2014/5/2***********************************

早速臨時で修正プログラムが更新されました。今回は特別XPへの修正も提供されるようです。

自動更新を事前回避策でVGX.dllを無効化している場合は、回避策を戻してから適用するようにとの事なので注意しましょう。

公開情報は次のリンクページの内容が変更になっていました。

*******************************************************

 

◆セキュリティ アドバイザリ 2963983「Internet Explorer脆弱性により、リモートでコードが実行される」を公開

http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx

 

まとめてくれている投稿があったので

◆InternetExplorerのゼロデイ(CVE-2014-1776)をまとめてみた

 

http://d.hatena.ne.jp/Kango/20140427/1398602077

 

このサイト読んだら自分がまとめることもないなとは思いましたが自分の整理としてまとめてみました。何にせよ早々に修正が出ることを待ちたいと思います。

 

以下 雑感

最近は、XPのサポート切れなどでも特にですがWindowsIE脆弱性に対するセキュリティの情報が多く出てきています。ただ、これでMS製品ダメだとかやっぱりMACだ、Chromeだと考えるのは少し違う気がします。

IEがダメだったのはCSSが遅れていたからだという意見に反対するつもりはありませんしIEが遅いよというのもわかります。

ただ、世界でシェアが大きいがためにこういった脆弱性についてチェックする研究機関もありゼロデイの攻撃があったのでこういった情報がしっかりと公開され修正が早めに提供されています。(FireFoxにもアドバイザリもありますが)

IEについてここまで情報が多くなってきたと感じるのは使われている企業や人がいかに多いかという点で、IEが一番目立つからこそ狙われるし情報も多く出るのでしょう。

 

ではIEと比べてChromeFireFoxが絶対に安全なのか。それはないでしょう。

 

追記2

IEだけでなくChromeFireFoxを利用されている方も注意したほうがよい事案が出ましたので追記します。

Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)

http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html

この脆弱性ゼロデイ(今はIEでも修正がでているのでゼロデイではないが)攻撃が確認されていたものです。Flash Playerを最新に更新することをお勧めします。

結局何を使っていても気をつけないといけない事ってたくさんあるんですよね。

 

 

実際にChromeFireFoxであれば自動で更新を行うようにしていれば使っている間に更新して気づかないうちに穴を埋めてくれています。試しに自分のブラウザのバージョンを確認してみるとわかると思います。いつの間にバージョンあがってるのと気づくはずです。私のFireFoxは開いていなかったので古いままでしたが、私の場合、今回の件もあり、久々にFireFoxを開いたら古いバージョンだったので手動でアップデートしました。結局脆弱性を抱えていたわけです。。。

※IE10からは設定していれば自動でアップデートしてくれるようですね

 

なので結局のところ自分がどのバージョンを使っているか、どんな脆弱性があるのか、また、ブラウザで何をしたらまずいのか等をある程度は知っておかないと安全とは言えません。実際にここまで書いたことができるかといえば難しいところではありますが。

 

IEChromeFireFoxSafari。。。等、ブラウザで何かをするという事は便利な反面危険なこともあるんだよという事は知っておいたほうがいいです。今回のようになんだ悪いところがあるから不良品じゃないか、ではなくてあくまでもツール(道具)なんですから使い方は知っておかないと痛い目を見ることもあるという事。だめだと心配しなくても提供側はサポート期間内であれば悪い部分は治してくれる訳ですし。

脆弱性が出る以前に使う人がブラウザでインターネットを閲覧する、情報を入力するというのはどういう事なのかある程度は知っておかないと結局は被害にあう可能性はあるので。

 

ユーザーIDやパスワードを保存するのがいいのか、定期的にパスワードを変更するとか、パスワードを入力するときにはブラウザのURLがHTTPSになっているか(最近は証明書が必ずしも正しいとは限らないので困るが)確認するとか基本的なところは押さえておきたいものですね。

 

にしてもXPのサポートが切れてすぐのタイミング。XPを入れ替えていないところは急がないといけませんね。

 

最後の補足

今回の脆弱性IE脆弱性なのでOSは関係ないようですが、OSの上でIEが動いているのでWindows Updateなどでの修正はVISTA以降でないと公開されないと思われます。実際に影響のあるOSでは表記すらされていませんでしたので。

単独に適用できる修正プログラムが公開されダウンロードして適用できるのかどうかは定かではありません。

また、Windows 8.1の場合は5月の更新からはUpdate1を適用していないと更新ができないとの事でした。今回対応の修正が果たしてUpdate1適用前でも適用できるのかどうかも今後の情報を見ないとわかりませんので注目したいと思います。

 

追記 誤解を与えそうな表現を修正しました