JVNDB-2014-002574
|
Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性
|
Microsoft が提供する Internet Explorer 8 には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。
CWE-416: Use After Free (メモリ解放後の使用)
http://cwe.mitre.org/data/definitions/416.html
本脆弱性について Microsoft と調整を行っていた Zero Day Initiative から、アドバイザリ (ZDI-14-140) が公開されています。
ZDI-14-140
http://zerodayinitiative.com/advisories/ZDI-14-140/
|
CVSS v2 による深刻度 基本値: 6.8 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
マイクロソフト
- Microsoft Internet Explorer 10
- Microsoft Internet Explorer 11
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
|
|
細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。
|
[アップデートする]
2014年6月11日、開発者から本脆弱性に対するアップデートが公開されました。
開発者が提供する情報をもとにアップデートを行ってください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・ 最新版の Internet Explorer へアップグレードする (2014年6月6日現在の最新版は Internet Explorer 11)
※ 最新版のInternet Explorer へアップグレードできない OS を利用している場合は、次のワークアラウンドの実施を検討してください。
・ Internet Explorer 8 より新しいバージョンの Internet Explorer を使用する
・ Enhanced Mitigation Experience Toolkit (EMET) を適用する
http://support.microsoft.com/kb/2458544
・ インターネットゾーンのセキュリティレベルを"高”に設定することで、Active X コントロールおよびアクティブスクリプトを無効にする
|
マイクロソフト
|
- その他(CWE-Other) [IPA評価]
- リソース管理の問題(CWE-399) [NVD評価]
|
- CVE-2014-1770
|
- JVN : JVNVU#97953185
- National Vulnerability Database (NVD) : CVE-2014-1770
- IPA 重要なセキュリティ情報 : Microsoft 製品の脆弱性対策について(2014年6月)
- JPCERT 注意喚起 : JPCERT-AT-2014-0025
- 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)(2014年06月11日)
- US-CERT Vulnerability Note : VU#239151
- 関連文書 : Zero Day Initiative Advisory ZDI-14-140: (0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability
|
- [2014年05月22日]
掲載
[2014年05月26日]
参考情報:National Vulnerability Database (NVD) (CVE-2014-1770) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
[2014年06月09日]
対策:内容を更新
[2014年06月12日]
影響を受けるシステム:マイクロソフト (MS14-035) の情報を追加
ベンダ情報:マイクロソフト (MS14-035) を追加
ベンダ情報:マイクロソフト (Assessing risk for the June 2014 security updates) を追加
対策:内容を更新
参考情報:IPA セキュリティセンター 注意喚起 (Microsoft 製品の脆弱性対策について(2014年6月)) を追加
参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0025) を追加
参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)(2014年06月11日)) を追加
|