公開日:2014/05/22 最終更新日:2014/06/11

JVNVU#97953185
Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性

概要

Microsoft が提供する Internet Explorer 8 には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。

影響を受けるシステム

  • Internet Explorer 8

詳細情報

Microsoft が提供する Internet Explorer 8 には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。
本脆弱性について Microsoft と調整を行っていた Zero Day Initiative から、アドバイザリ (ZDI-14-140) が公開されています。

想定される影響

細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。

対策方法

アップデートする
2014年6月11日、開発者から本脆弱性に対するアップデートが公開されました。
開発者が提供する情報をもとにアップデートを行ってください。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • 最新版の Internet Explorer へアップグレードする (2014年6月6日現在の最新版は Internet Explorer 11)
※ 最新版のInternet Explorer へアップグレードできない OS を利用している場合は、次のワークアラウンドの実施を検討してください。
  • Internet Explorer 8 より新しいバージョンの Internet Explorer を使用する
  • Enhanced Mitigation Experience Toolkit (EMET) を適用する
  • インターネットゾーンのセキュリティレベルを"高”に設定することで、Active X コントロールおよびアクティブスクリプトを無効にする

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本マイクロソフト株式会社 該当製品あり 2014/06/11 日本マイクロソフト株式会社 の告知ページ

参考情報

  1. CERT/CC Vulnerability Note VU#239151
    Microsoft Internet Explorer 8 CMarkup use-after-free vulnerability
  2. Zero Day Initiative Advisory ZDI-14-140
    (0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.05.22における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が部分的に阻害される

Base Score:6.8

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-1770
JVN iPedia

更新履歴

2014/06/06
日本マイクロソフト株式会社のベンダステータスが更新されました
2014/06/06
対策方法を更新しました。
2014/06/11
日本マイクロソフト株式会社のベンダステータスが更新されました
2014/06/11
対策方法を更新しました。