2020年1月17日 (米国時間)、マイクロソフトが「Microsoft Internet Explorer」に関する脆弱性情報 (CVE-2020-0674) を公開しました。この脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。
すでに今回の脆弱性を悪用した事例も確認されており、いわゆる「ゼロデイ脆弱性」となり早急な対処が必要ですが、マイクロソフトは2月の月例更新にて対応予定。それまでは緊急のパッチ提供などは現状ないようです。ユーザーはIEの利用を控えるか、自分で回避策を適用して対処してください。
IEの脆弱性「CVE-2020-0674」の概要
今回発覚したIEに関するゼロデイ脆弱性の概要は以下の通り。
マイクロソフトによると本脆弱性は、「JScript」のスクリプトエンジンにおけるメモリ破損の脆弱性に関するもの。攻撃者がこの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者がこの脆弱性を悪用し、影響を受けるシステムを制御する可能性があります。
ただし、標的となっているのは互換性のために残されている「jscript.dll」で、既定で利用されている「jscript9.dll」はこの脆弱性の影響を受けないとのこと。そのため悪用の事実はあるものの、対処は2月の月例更新になる予定です。
本脆弱性の対象となるIE
今回の脆弱性の対象となるIEは以下の通り。
■Microsoft Internet Explorer 9
■Microsoft Internet Explorer 10
■Microsoft Internet Explorer 11
なお、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、およびWindows Server 2019上のInternet Explorerは、既定ではセキュリティが強化された「制限モード」で実行されており、影響は少ないものと想定されています。
対策
先ほども述べたように、今回の脆弱性への対策は現時点で提供されていません。一応2月の月例更新でマイクロソフトは対応予定となっていますが、それまでの間は以下で紹介する「回避策」を適用するか、別のウェブブラウザの使用を検討してください。
なお、先日サポートが終了したWindows 7向けには対応パッチが配布されない可能性が高いです。Windows 7ユーザーは速やかにWindows 10 PCに移行しましょう。
※重大な脆弱性と判断された場合は、稀にサポート終了したOSにもパッチ等が配布される場合もありますが、あくまでも“例外”的な対応なので過信は禁物です。
回避策
今回の脆弱性は、「jscript.dll」へのアクセス権限を制限することで、脆弱性の影響を回避することができるとのこと。IE11、IE10、IE9 は、本脆弱性の影響を受けない「jscript9.dll」がデフォルトで使用されますが、古いバージョンの「JScript」をサポートするために「jscript.dll」が提供されています。
なお、回避策を実施して「jscript.dll」の使用を制限すると古いバージョンの「JScript」を使用するウェブサイトや文書ファイルの閲覧などに影響が生じる可能性も考えられます。回避策の適用にあたっては十分に影響範囲を考慮の上、実施してください。
回避策は以下の通り。コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行してください。
32-bitシステムの場合
takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
64-bitシステムの場合
takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
元に戻す場合は、先ほどと同じく管理者権限にてコマンドプロンプトを起動し、以下のコマンドを入力してください。2月の月例パッチ適用前には必ず元に戻しておきましょう。
32-bitシステムの場合
cacls %windir%\system32\jscript.dll /E /R everyone
64-bitシステムの場合
cacls %windir%\system32\jscript.dll /E /R everyone cacls %windir%\syswow64\jscript.dll /E /R everyone
参考サイト:
■Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起|JPCERT CC
■「Internet Explorer」にゼロデイ脆弱性、Microsoftは2月の月例セキュリティ更新で対処|窓の杜
■ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability|Microsoft
コメント