【活用ガイド】

JVNDB-2014-001409

Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性

概要

Microsoft が提供する Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

Microsoft が提供する Internet Explorer には、CMarkup コンポーネントの処理に問題があり、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。

Enhanced Mitigation Experience Toolkit (EMET) が適用されていない環境の Internet Explorer 10 を対象とした攻撃が観測されています。また、本脆弱性を使用した攻撃コードも公開されています。

Enhanced Mitigation Experience Toolkit (EMET)
https://support.microsoft.com/kb/2458544
CVSS による深刻度 (CVSS とは?)

基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


マイクロソフト
  • Microsoft Internet Explorer 9
  • Microsoft Internet Explorer 10

想定される影響

細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする]
2014年3月12日、本脆弱性は 2014 年 3 月のセキュリティ情報 に含まれる MS14-012 で修正されました。
開発者が提供する情報をもとに、アップデートしてください。

2014 年 3 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-mar

MS14-012
http://technet.microsoft.com/ja-jp/security/bulletin/MS14-012

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

 * Internet Explorer 11 以降へアップデートする

 * Enhanced Mitigation Experience Toolkit (EMET) を適用する
  http://support.microsoft.com/kb/2458544

 * Fix it 51007 を適用する
  https://support.microsoft.com/kb/2934088
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0322
参考情報

  1. JVN : JVNVU#96727848
  2. JVN : JVNTA#99041988
  3. National Vulnerability Database (NVD) : CVE-2014-0322
  4. US-CERT Vulnerability Note : VU#732479
  5. US-CERT Technical Cyber Security Alert : TA15-119A
  6. IPA 緊急対策情報 : Internet Explorer の脆弱性対策について(CVE-2014-0322)
  7. US-CERT Current Activity : Internet Explorer 10 Use-After-Free Vulnerability Being Actively Exploited In The Wild
更新履歴

[2014年02月17日]
  掲載
[2014年02月20日]
  参考情報:IPA 緊急対策情報 (Internet Explorer の脆弱性対策について(CVE-2014-0322)) を追加
  対策:内容を更新
[2014年02月24日]
  影響を受けるシステム:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  CVSS による深刻度:内容を更新
  ベンダ情報:マイクロソフト (Article 2934088: Vulnerability in Internet Explorer could allow remote code execution) を追加
  ベンダ情報:マイクロソフト ((2934088): Vulnerability in Internet Explorer Could Allow Remote Code Execution ) を追加
  ベンダ情報:マイクロソフト (Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322 ) を追加
  ベンダ情報:マイクロソフト (日本のセキュリティチーム: セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開) を追加
  ベンダ情報:マイクロソフト ((2934088): Internet Explorer の脆弱性により、リモートでコードが実行される) を追加
[2014年03月13日]
  対策:内容を更新
  ベンダ情報:マイクロソフト (MS14-012 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (2925418)) を追加
[2015年05月11日]
  参考情報:JVN (JVNTA#99041988) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加