JVNDB-2013-002545
|
Internet Explorer 8 に任意のコードが実行される脆弱性
|
Internet Explorer 8 の CGenericElement オブジェクトには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。
本脆弱性を使用した攻撃が観測されています。また、本脆弱性を使用した攻撃コードも公開されています。
|
CVSS v2 による深刻度 基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
マイクロソフト
- Microsoft Internet Explorer 8
- Microsoft Internet Explorer 9
- Microsoft Windows 7 (x32) SP1
- Microsoft Windows 7 (x64) SP1
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 (x64) SP2
- Microsoft Windows Server 2008 (x86) SP2
- Microsoft Windows Server 2008 (x64) SP2
- Microsoft Windows Server 2008 r2(itanium) SP1
- Microsoft Windows Server 2008 r2(x64) SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista (x64) SP2
- Microsoft Windows XP sp3 SP3
- Microsoft Windows XP sp3 Professional x64 Edition SP2
|
マイクロソフトは、Internet Explorer 9 について、本脆弱性が存在するものの、既知の攻撃方法は既定の構成でブロックされると公表しています。
なお、Internet Explorer 6、Internet Explorer 7、Internet Explorer 10 は本脆弱性の影響を受けないとのことです。
|
細工されたウェブページ等を閲覧することで、任意のコードが実行される可能性があります。
|
[アップデートする]
Microsoft が提供するセキュリティ情報 MS13-038 をもとにアップデートを行ってください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* Fix it 50992 を適用する
https://support.microsoft.com/kb/2847140#FixItForMe
* Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する
http://support.microsoft.com/kb/2458544
* Data Execution Prevention (DEP) を有効にする
http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
|
マイクロソフト
富士通
|
- コード・インジェクション(CWE-94) [NVD評価]
|
- CVE-2013-1347
|
- JVN : JVNVU#97576465
- JVN : JVNTA#99041988
- National Vulnerability Database (NVD) : CVE-2013-1347
- IPA 重要なセキュリティ情報 : JPCERT-AT-2013-0023
- 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS13-037,038,039,040,041,042,043,044,045,046)(2013年05月15日)
- US-CERT Vulnerability Note : VU#237655
- US-CERT Technical Cyber Security Alert : TA13-134A
- US-CERT Technical Cyber Security Alert : TA15-119A
- IPA 緊急対策情報 : Internet Explorer 8 の脆弱性対策について(KB2847140)(CVE-2013-1347)
- IPA 緊急対策情報 : Microsoft 製品の脆弱性対策について(5月)
|
- [2013年05月07日]
掲載
[2013年05月08日]
ベンダ情報:マイクロソフト ((2847140) Internet Explorer の脆弱性により、リモートでコードが実行される) を追加
[2013年05月09日]
ベンダ情報:マイクロソフト (Vulnerability in Internet Explorer could allow remote code execution: May 8, 2013) を追加
ベンダ情報:マイクロソフト (Fix it for Security Advisory 2847140 is available) を追加
CVSS による深刻度:内容を更新
[2013年05月14日]
対策:内容を更新
[2013年05月16日]
影響を受けるシステム:マイクロソフト (MS13-038) の内容を更新
対策:内容を更新
ベンダ情報:マイクロソフト (MS13-038) を追加
ベンダ情報:マイクロソフト (2013 年 5 月のセキュリティ情報 (月例) - MS13-037 〜 MS13-046) を追加
ベンダ情報:マイクロソフト (Microsoft Knowledge Base) を日本語版に変更
[2013年05月21日]
ベンダ情報:富士通 (TA13-134A) を追加
[2015年05月11日]
参考情報:JVN (JVNTA#99041988) を追加
参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加
|