【活用ガイド】

JVNDB-2014-002260

Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性

概要

Microsoft が提供する Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。なお、本脆弱性を悪用した攻撃が観測されているとの情報が公開されています。

CWE-416: Use After Free (メモリ解放後の使用)
http://cwe.mitre.org/data/definitions/416.html
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


マイクロソフト
  • Microsoft Internet Explorer 6 から 11

想定される影響

細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする]
2014年5月2日、開発者から本脆弱性に対するアップデートが公開されました。
開発者が提供する情報をもとにアップデートを行ってください。
ベンダ情報

マイクロソフト 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. コード・インジェクション(CWE-94) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-1776
参考情報

  1. JVN : JVNVU#92280347
  2. JVN : JVNTA#99041988
  3. National Vulnerability Database (NVD) : CVE-2014-1776
  4. JPCERT 注意喚起 : JPCERT-AT-2014-0018
  5. JPCERT 注意喚起 : JPCERT-AT-2014-0020
  6. JPCERT 注意喚起 : JPCERT-AT-2014-0021
  7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS14-021)(2014年05月02日)
  8. US-CERT Vulnerability Note : VU#222929
  9. US-CERT Technical Cyber Security Alert : TA15-119A
  10. 関連文書 : FireEye Blog (April 26, 2014):New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
  11. IPA 緊急対策情報 : 更新:Internet Explorer の脆弱性対策について(CVE-2014-1776)
更新履歴

[2014年04月28日]
  掲載
[2014年05月02日]
  対策:内容を更新
  ベンダ情報:Microsoft ([回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される) を追加
  ベンダ情報:Microsoft (セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開)) を追加
  ベンダ情報:富士通 (マイクロソフト社 Internet Explorer の脆弱性に関するお知らせ) を追加
  参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0020) を追加
  参考情報:IPA 緊急対策情報 (更新:Internet Explorer の脆弱性対策について(CVE-2014-1776)) を追加
[2014年05月07日]
  対策:内容を更新
[2014年05月08日]
  ベンダ情報:Microsoft (マイクロソフト セキュリティ情報 MS14-021 - 緊急) を追加
[2014年05月15日]
  ベンダ情報:Microsoft (Assessing risk for the May 2014 security updates) を追加
  参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0021) を追加
  参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-021)(2014年05月02日)) を追加
[2014年05月19日]
  CWE による脆弱性タイプ一覧:CWE-ID を追加
[2015年05月11日]
 参考情報:JVN (JVNTA#99041988) を追加
 参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加