Internet Explorer 6 ～ 11 脆弱性へのゼロデイ攻撃

マイクロソフトの Internet Explorer に脆弱性が見つかり、悪用を受けていると発表しています！

米国土安全保障省が IE 6 から最新 IE 11 がハッキングを受ける可能性があり、マイクロソフトが対策を出すまで使うなと。他のブラウザを使うようにと勧告しています。政府が発表するというのも異例。

マイクロソフトから修正ソフトが提供される予定ですが、XPは対象外。

これは危険。

対象バージョンは IE 6 ～ 11 と広範囲です。

• JVNVU#92280347- Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
• 更新：Internet Explorer の脆弱性対策について(CVE-2014-1776)：IPA 独立行政法人 情報処理推進機構
  • こちら IPA サイトが丁寧に、わかりやすく説明が書かれています。

• 再びIEにゼロデイ脆弱性 - 標的型攻撃も確認、Windows XP環境は特に注意を – ライブドアニュース

すでに脆弱な部分を悪用した攻撃も多発しているようですので、これは危険な状態です。

• InternetExplorerのゼロデイ（CVE-2014-1776）をまとめてみた - piyolog

MS の公式の回避策 (ワークアラウンドセキュリティ アドバイザリ2963983) セキュリティ アドバイザリ 2963983 ではは、

1. EMET 4.1 (Enhanced Mitigation Experience Toolkit) を導入
2. IE のセキュリティ設定を、ローカルゾーン、インターネットゾーンともに「高」に設定
3. ActiveX コントロールと、アクティブスクリプトをブロック
4. インターネットゾーンと、イントラネットお~んで、アクティブスクリプト実行前にダイアログ表示する設定

または、

1. またはアクティブスクリプトを無効
2. VGX.DLL のレジストリ登録を解除
3. 保護モードを有効にする

って、超面倒。

色々なサイトで、おすすめは EMET4.1 の導入と、VGX.DLL の登録解除と書かれています。

ということで、日本人ユーザが対策ソフトを公開しています。

• IE6～11の深刻な脆弱性の対策ソフト IE_Remove_VGX_DLL 
  • 使い方 ー IE6～11の深刻な脆弱性の対策ソフト IE_Remove_VGX_DLL
  • ソフトウェア技術者の西村誠一氏（@khb02323）
• 「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開 - CNET Japan

ゼロデイ状態を抜け出すまでは、Internet Explorer でインターネットするの止めて、Firefox や Sleipnir、Safari とか使いましょう！

備考

• ゼロデイとは：脆弱性にたいする対応策が出る前の状態
• 脆弱のよみかた：ぜいじゃく