ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB14007:Microsoft Internet Explorer の脆弱性 (CVE-2014-1776) 対策

(JVNVU#92280347, JVNDB-2014-002260, CVE-2014-1776)

更新日:2014年05月02日

1. 概要

Microsoft Internet Explorer 6 〜 11 には、メモリ破損に起因し、Web サイトに掲載されている不正なファイルを開くなどを契機とした受動型(誘導型)攻撃により、任意のコード実行を許してしまう脆弱性 (CVE-2014-1776) が存在します。 報告された脆弱性 (CVE-2014-1776) は既に侵害活動に利用されていますので、すみやかにセキュリティアップデートを実施してください。

2014年4月26日
FireEye から Internet Explorer 9 〜 11 を攻撃対象とする脆弱性を悪用する侵害活動が報告されました (Operation Clandestine Fox と命名)

2014年4月27日
SecurityWeek によって、標的型攻撃の対象が米国の防衛と金融機関で、報告書を装った標的型メール攻撃であるという記事が投稿されました。

2014年4月28日 (日本時間)
マイクロソフトより、セキュリティ アドバイザリ (2963983) が公開されました。

2014年5月2日 (日本時間)
マイクロソフトより、Internet Explorer 用のセキュリティ更新プログラム (MS14-021) リリースされました。

CVSSによる深刻度

 基本値:9.3
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:中
  攻撃前の認証要否:不要
  機密性への影響(C):全面的
  完全性への影響(I):全面的
  可用性への影響(A):全面的

 現状値:8.1 (2014年5月2日時点)
  攻撃される可能性:容易に攻撃可能
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

2. 影響を受けるシステム

+ Microsoft Internet Explorer 6
+ Microsoft Internet Explorer 7
+ Microsoft Internet Explorer 8
+ Microsoft Internet Explorer 9
+ Microsoft Internet Explorer 10
+ Microsoft Internet Explorer 11

3. 想定される影響

Microsoft Internet Explorer の実装に起因する任意のコード実行を許してしまう脆弱性です。 攻撃者は該当するシステムにおいて、プログラムインストール、表示、変更、データ削除、全てのアクセス権限を持つ新規アカウントの作成など、システム上でのあらゆる操作を実行する可能性があります。

4. 対策

(対策) 修正プログラムを適用する
2014年05月02日(日本時間) マイクロソフトより、セキュリティ更新プログラム (MS14-021) がリリースされました。

5. 関連情報

5.1 脆弱性識別

Microsoft Internet Explorer に存在する脆弱性には、次の脆弱性識別番号が付与されています。

5.2 注意喚起

5.3 その他

6. 更新履歴

2014年05月02日
  • このページを新規作成および公開しました。

担当:寺田、大西/HIRT