【活用ガイド】

JVNDB-2014-002574

Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性

概要

Microsoft が提供する Internet Explorer 8 には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。

CWE-416: Use After Free (メモリ解放後の使用)
http://cwe.mitre.org/data/definitions/416.html

本脆弱性について Microsoft と調整を行っていた Zero Day Initiative から、アドバイザリ (ZDI-14-140) が公開されています。

ZDI-14-140
http://zerodayinitiative.com/advisories/ZDI-14-140/
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.8 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


マイクロソフト
  • Microsoft Internet Explorer 10
  • Microsoft Internet Explorer 11
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 7
  • Microsoft Internet Explorer 8
  • Microsoft Internet Explorer 9

想定される影響

細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。
対策

[アップデートする]
2014年6月11日、開発者から本脆弱性に対するアップデートが公開されました。
開発者が提供する情報をもとにアップデートを行ってください。

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

 ・ 最新版の Internet Explorer へアップグレードする (2014年6月6日現在の最新版は Internet Explorer 11)

※ 最新版のInternet Explorer へアップグレードできない OS を利用している場合は、次のワークアラウンドの実施を検討してください。

 ・ Internet Explorer 8 より新しいバージョンの Internet Explorer を使用する

 ・ Enhanced Mitigation Experience Toolkit (EMET) を適用する
   http://support.microsoft.com/kb/2458544

 ・ インターネットゾーンのセキュリティレベルを"高”に設定することで、Active X コントロールおよびアクティブスクリプトを無効にする
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-1770
参考情報

  1. JVN : JVNVU#97953185
  2. National Vulnerability Database (NVD) : CVE-2014-1770
  3. IPA 重要なセキュリティ情報 : Microsoft 製品の脆弱性対策について(2014年6月)
  4. JPCERT 注意喚起 : JPCERT-AT-2014-0025
  5. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)(2014年06月11日)
  6. US-CERT Vulnerability Note : VU#239151
  7. 関連文書 : Zero Day Initiative Advisory ZDI-14-140: (0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability
更新履歴

  • [2014年05月22日]
      掲載
    [2014年05月26日]
      参考情報:National Vulnerability Database (NVD) (CVE-2014-1770) を追加
     CWE による脆弱性タイプ一覧:CWE-ID を追加
    [2014年06月09日]
     対策:内容を更新
    [2014年06月12日]
      影響を受けるシステム:マイクロソフト (MS14-035) の情報を追加
      ベンダ情報:マイクロソフト (MS14-035) を追加
      ベンダ情報:マイクロソフト (Assessing risk for the June 2014 security updates) を追加
      対策:内容を更新
      参考情報:IPA セキュリティセンター 注意喚起 (Microsoft 製品の脆弱性対策について(2014年6月)) を追加
      参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0025) を追加
      参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)(2014年06月11日)) を追加

公表日2014/05/21
登録日2014/05/22
最終更新日2014/06/12