JVNDB-2013-002545

JVNDB-2013-002545
Internet Explorer 8 に任意のコードが実行される脆弱性
概要
Internet Explorer 8 の CGenericElement オブジェクトには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。本脆弱性を使用した攻撃が観測されています。また、本脆弱性を使用した攻撃コードも公開されています。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

マイクロソフト Microsoft Internet Explorer 8 Microsoft Internet Explorer 9 Microsoft Windows 7 (x32) SP1 Microsoft Windows 7 (x64) SP1 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 (x64) SP2 Microsoft Windows Server 2008 (x86) SP2 Microsoft Windows Server 2008 (x64) SP2 Microsoft Windows Server 2008 r2(itanium) SP1 Microsoft Windows Server 2008 r2(x64) SP1 Microsoft Windows Vista SP2 Microsoft Windows Vista (x64) SP2 Microsoft Windows XP sp3 SP3 Microsoft Windows XP sp3 Professional x64 Edition SP2
マイクロソフトは、Internet Explorer 9 について、本脆弱性が存在するものの、既知の攻撃方法は既定の構成でブロックされると公表しています。なお、Internet Explorer 6、Internet Explorer 7、Internet Explorer 10 は本脆弱性の影響を受けないとのことです。
想定される影響
細工されたウェブページ等を閲覧することで、任意のコードが実行される可能性があります。
対策
[アップデートする] Microsoft が提供するセキュリティ情報 MS13-038 をもとにアップデートを行ってください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　　* Fix it 50992 を適用する　　 https://support.microsoft.com/kb/2847140#FixItForMe 　　* Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する　　 http://support.microsoft.com/kb/2458544 　　* Data Execution Prevention (DEP) を有効にする　　 http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
ベンダ情報
マイクロソフト Microsoft Knowledge Base (日本語版) : 2847140　Internet Explorer 8 の脆弱性により、リモートでコードが実行される (2013 年 5 月 8 日) Microsoft Security Advisory : (2847140) Vulnerability in Internet Explorer Could Allow Remote Code Execution Microsoft Security Bulletin : MS13-038 TechNet Blogs : Microsoft Releases Security Advisory 2847140 TechNet Blogs : Fix it for Security Advisory 2847140 is available TechNet Blogs : Microsoft "Fix it" available to mitigate Internet Explorer 8 vulnerability TechNet Blogs : 2013 年 5 月のセキュリティ情報 (月例) - MS13-037 ～ MS13-046 マイクロソフトセキュリティアドバイザリ : (2847140) Internet Explorer の脆弱性により、リモートでコードが実行されるマイクロソフトセキュリティアドバイザリ : MS13-038 富士通富士通セキュリティ情報 : TA13-134A
CWEによる脆弱性タイプ一覧 CWEとは?
コード・インジェクション(CWE-94) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-1347
参考情報
JVN : JVNVU#97576465 JVN : JVNTA#99041988 National Vulnerability Database (NVD) : CVE-2013-1347 IPA 重要なセキュリティ情報 : JPCERT-AT-2013-0023 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS13-037,038,039,040,041,042,043,044,045,046)(2013年05月15日) US-CERT Vulnerability Note : VU#237655 US-CERT Technical Cyber Security Alert : TA13-134A US-CERT Technical Cyber Security Alert : TA15-119A IPA 緊急対策情報 : Internet Explorer 8 の脆弱性対策について(KB2847140)(CVE-2013-1347) IPA 緊急対策情報 : Microsoft 製品の脆弱性対策について(5月)
更新履歴
[2013年05月07日] 掲載 [2013年05月08日] ベンダ情報：マイクロソフト ((2847140) Internet Explorer の脆弱性により、リモートでコードが実行される) を追加 [2013年05月09日] ベンダ情報：マイクロソフト (Vulnerability in Internet Explorer could allow remote code execution: May 8, 2013) を追加ベンダ情報：マイクロソフト (Fix it for Security Advisory 2847140 is available) を追加 CVSS による深刻度：内容を更新 [2013年05月14日] 対策：内容を更新 [2013年05月16日] 影響を受けるシステム：マイクロソフト (MS13-038) の内容を更新対策：内容を更新ベンダ情報：マイクロソフト (MS13-038) を追加ベンダ情報：マイクロソフト (2013 年 5 月のセキュリティ情報 (月例) - MS13-037 ～ MS13-046) を追加ベンダ情報：マイクロソフト (Microsoft Knowledge Base) を日本語版に変更 [2013年05月21日] ベンダ情報：富士通 (TA13-134A) を追加 [2015年05月11日] 参考情報：JVN (JVNTA#99041988) を追加参考情報：US-CERT Technical Cyber Security Alert (TA15-119A) を追加


公表日	2013/05/03
登録日	2013/05/07
最終更新日	2015/05/11

Internet Explorer 8 に任意のコードが実行される脆弱性