JVNDB-2014-002260

Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性

Microsoft が提供する Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。なお、本脆弱性を悪用した攻撃が観測されているとの情報が公開されています。

CWE-416: Use After Free (メモリ解放後の使用)
http://cwe.mitre.org/data/definitions/416.html

マイクロソフト

• Microsoft Internet Explorer 6 から 11

細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。

[アップデートする]
2014年5月2日、開発者から本脆弱性に対するアップデートが公開されました。
開発者が提供する情報をもとにアップデートを行ってください。

マイクロソフト

• Microsoft Security Bulletin : MS14-021
• Security Research and Defense Blog : More Details about Security Advisory 2963983 IE 0day
• Security Research and Defense Blog : Assessing risk for the May 2014 security updates
• Security TechCenter : Microsoft Security Advisory 2963983: Vulnerability in Internet Explorer Could Allow Remote Code Execution
• TechNet Blogs (日本語版) : [回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される
• TechNet Blogs (日本語版) : セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
• マイクロソフト セキュリティ情報 : MS14-021

富士通

• 富士通 セキュリティ情報 : マイクロソフト社 Internet Explorer の脆弱性に関するお知らせ

1. その他(CWE-Other) [IPA評価]
2. コード・インジェクション(CWE-94) [NVD評価]

1. CVE-2014-1776

1. JVN : JVNVU#92280347
2. JVN : JVNTA#99041988
3. National Vulnerability Database (NVD) : CVE-2014-1776
4. JPCERT 注意喚起 : JPCERT-AT-2014-0018
5. JPCERT 注意喚起 : JPCERT-AT-2014-0020
6. JPCERT 注意喚起 : JPCERT-AT-2014-0021
7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS14-021)(2014年05月02日)
8. US-CERT Vulnerability Note : VU#222929
9. US-CERT Technical Cyber Security Alert : TA15-119A
10. 関連文書 : FireEye Blog (April 26, 2014)：New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
11. IPA 緊急対策情報 : 更新：Internet Explorer の脆弱性対策について(CVE-2014-1776)

• [2014年04月28日]
    掲載
  [2014年05月02日]
    対策：内容を更新
    ベンダ情報：Microsoft ([回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される) を追加
    ベンダ情報：Microsoft (セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開)) を追加
    ベンダ情報：富士通 (マイクロソフト社 Internet Explorer の脆弱性に関するお知らせ) を追加
    参考情報：JPCERT 注意喚起 (JPCERT-AT-2014-0020) を追加
    参考情報：IPA 緊急対策情報 (更新：Internet Explorer の脆弱性対策について(CVE-2014-1776)) を追加
  [2014年05月07日]
    対策：内容を更新
  [2014年05月08日]
    ベンダ情報：Microsoft (マイクロソフト セキュリティ情報 MS14-021 - 緊急) を追加
  [2014年05月15日]
    ベンダ情報：Microsoft (Assessing risk for the May 2014 security updates) を追加
    参考情報：JPCERT 注意喚起 (JPCERT-AT-2014-0021) を追加
    参考情報：警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-021)(2014年05月02日)) を追加
  [2014年05月19日]
    CWE による脆弱性タイプ一覧：CWE-ID を追加
  [2015年05月11日]
  　参考情報：JVN (JVNTA#99041988) を追加
  　参考情報：US-CERT Technical Cyber Security Alert (TA15-119A) を追加