JVNDB-2018-010753
|
Internet Explorer の JScript スクリプトエンジンにおけるメモリ破損の脆弱性
|
|
Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。
Microsoft が提供する Internet Explorer には、VBScript やJScript といったスクリプト言語を実行するスクリプトエンジンが実装されています。スクリプトエンジンの JScript を扱うコンポーネントにおいて、メモリ破損の脆弱性が見つかりました。Internet Explorer や Internet Explorer スクリプトエンジンの挿入をサポートするアプリケーションが本脆弱性の影響を受けます。
なお、本脆弱性を悪用する攻撃がすでに確認されています。
|
|
CVSS v3 による深刻度
基本値: 7.1 (重要) [JPCERT/CC値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 7.5 (危険) [JPCERT/CC値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
マイクロソフト
- Microsoft Internet Explorer
|
Microsoft によると、IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll をデフォルトで使用しています。また、JScript をスクリプトエンジンとして使用し、jscript.dll を明示的に使用しているウェブサイトのみが、本脆弱性の影響を受けます。
|
|
特別に細工された HTML ファイル(ウェブページやメールの添付文書)、PDF ファイル、Microsoft Office 文書、または Internet Explorer のスクリプトエンジンで作成したコンテンツの挿入をサポートする文書を、ユーザが閲覧することで、任意のコードを実行される可能性があります。
|
|
[アップデートする]
Microsoft が提供する情報をもとに、最新版へアップデートしてください。
[ワークアラウンドを実施する]
開発者の情報によると、jscript.dll へのアクセスを制限することで、本脆弱性の影響を軽減することが可能です。
管理者権限でコマンドプロンプトを立ち上げ、次のコマンドを実行してください。
* 32bit システムの場合
cacls %windir%\system32\jscript.dll /E /P everyone:N
* 64bit システムの場合
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
|
|
マイクロソフト
|
|
|
|
- CVE-2018-8653
|
|
- JVN : JVNVU#91880486
- National Vulnerability Database (NVD) : CVE-2018-8653
- JPCERT 緊急報告 : JPCERT-AT-2018-0051
- US-CERT Vulnerability Note : VU#573168
|
|
- [2018年12月21日]
掲載
- [2019年07月26日]
参考情報:National Vulnerability Database (NVD) (CVE-2018-8653) を追加
|
