【活用ガイド】

JVNDB-2020-001025

Microsoft Internet Explorer の JScript スクリプトエンジンにおけるメモリ破損の脆弱性

概要

Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。

Microsoft が提供する Internet Explorer には VBScript や JScript といったスクリプト言語を実行するためのスクリプトエンジンが実装されています。スクリプトエンジンの JScript を扱うコンポーネントにおいて、メモリ破損の脆弱性が発見されました。Internet Explorer や JScript スクリプトエンジンを組み込んでいるアプリケーションが本脆弱性の影響を受けます。

なお、本脆弱性を悪用する攻撃が既に確認されています。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


マイクロソフト
  • Microsoft Internet Explorer

Microsoft によると、IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll をデフォルトで使用しています。
想定される影響

特別に細工された HTML ファイル (ウェブページやメールの添付文書)、PDF ファイル、Microsoft Office 文書、または Internet Explorer のスクリプトエンジンで作成されたコンテンツの挿入をサポートする文書をユーザが閲覧することで、任意のコードを実行される可能性があります。
対策

2020年1月20日現在、対策方法は不明です。
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

[jscript.dll へのアクセスを制限する]
jscript.dll は古いバージョンの JScript をサポートするためのライブラリです。このライブラリへのアクセスを制限することで、本脆弱性の悪用を防止することが可能です。
管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してください。

32bit システムの場合

* takeown /f %windir%\system32\jscript.dll
 cacls %windir%\system32\jscript.dll /E /P everyone:N

64bit システムの場合

* takeown /f %windir%\syswow64\jscript.dll
 cacls %windir%\syswow64\jscript.dll /E /P everyone:N
 takeown /f %windir%\system32\jscript.dll
 cacls %windir%\system32\jscript.dll /E /P everyone:N

開発者が提供しているアドバイザリ (ADV200001) では、本緩和策を適用した場合の影響や上記の変更を元に戻す方法についても述べられています。あわせて参照してください。
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-0674
参考情報

  1. JVN : JVNVU#90794960
  2. National Vulnerability Database (NVD) : CVE-2020-0674
  3. IPA 重要なセキュリティ情報 : Microsoft Internet Explorer の脆弱性対策について(CVE-2020-0674)
  4. JPCERT 注意喚起 : Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
  5. US-CERT Vulnerability Note : VU#125336
更新履歴

  • [2020年01月21日]
      掲載