JVNDB-2020-001025
|
Microsoft Internet Explorer の JScript スクリプトエンジンにおけるメモリ破損の脆弱性
|
Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。
Microsoft が提供する Internet Explorer には VBScript や JScript といったスクリプト言語を実行するためのスクリプトエンジンが実装されています。スクリプトエンジンの JScript を扱うコンポーネントにおいて、メモリ破損の脆弱性が発見されました。Internet Explorer や JScript スクリプトエンジンを組み込んでいるアプリケーションが本脆弱性の影響を受けます。
なお、本脆弱性を悪用する攻撃が既に確認されています。
|
|
|
マイクロソフト
- Microsoft Internet Explorer
|
Microsoft によると、IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll をデフォルトで使用しています。
|
特別に細工された HTML ファイル (ウェブページやメールの添付文書)、PDF ファイル、Microsoft Office 文書、または Internet Explorer のスクリプトエンジンで作成されたコンテンツの挿入をサポートする文書をユーザが閲覧することで、任意のコードを実行される可能性があります。
|
2020年1月20日現在、対策方法は不明です。
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
[jscript.dll へのアクセスを制限する]
jscript.dll は古いバージョンの JScript をサポートするためのライブラリです。このライブラリへのアクセスを制限することで、本脆弱性の悪用を防止することが可能です。
管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してください。
32bit システムの場合
* takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
64bit システムの場合
* takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
開発者が提供しているアドバイザリ (ADV200001) では、本緩和策を適用した場合の影響や上記の変更を元に戻す方法についても述べられています。あわせて参照してください。
|
マイクロソフト
|
|
- CVE-2020-0674
|
- JVN : JVNVU#90794960
- National Vulnerability Database (NVD) : CVE-2020-0674
- IPA 重要なセキュリティ情報 : Microsoft Internet Explorer の脆弱性対策について(CVE-2020-0674)
- JPCERT 注意喚起 : Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
- US-CERT Vulnerability Note : VU#125336
|
|