平成 26 年 4 月 30 日 注 意 喚 起 ホームページ閲覧ソフトに 不正遠隔操作・情報漏洩の危険性 マイクロソフト インターネットエクスプローラー 教職員・学生の皆様へ 九州大学情報統括本部 Internet Explorer の未修正の脆弱性ついて マイクロソフト社から平成26年4月28日(日本時間)、Internet Explorer における 危険性の高い脆弱性情報が公開されました。これに対して文部科学省から、すでに攻撃に悪 用されているとの情報がある旨の注意喚起がありましたので、通知いたします。 (「4 参考 情報」を参照ください) 同社から修正プログラムが公開されるまでの間、システムへの影響を鑑み、暫定的な回避 策の実施を検討いただくとともに、修正プログラムの公開後には速やかに適用できるよう、 準備をお願いいたします。 暫定回避を実施した場合には、システムへの影響が出る可能性があります。 また、不正アクセス等の被害を把握した際は、部局事務部担当係を通じて速やかに情報統 括本部までご連絡をお願いいたします。 記 1 脆弱性の影響を受けるソフトウェア ■以下の OS 上で動作する Internet Explorer 6 ・Windows Server 2003 Service Pack 2 ・Windows Server 2003 x64 Edition Service Pack 2 ・Windows Server 2003 with SP2 for Itanium-based Systems ■以下の OS 上で動作する Internet Explorer 7 ・Windows Server 2003 Service Pack 2 ・Windows Server 2003 x64 Edition Service Pack 2 ・Windows Server 2003 with SP2 for Itanium-based Systems ・Windows Vista Service Pack 2 ・Windows Vista x64 Edition Service Pack 2 ・Windows Server 2008 for 32-bit Systems Service Pack 2 ・Windows Server 2008 for x64-based Systems Service Pack 2 ・Windows Server 2008 for Itanium-based Systems Service Pack 2 ■以下の OS 上で動作する Internet Explorer 8 ・Windows Server 2003 Service Pack 2 ・Windows Server 2003 x64 Edition Service Pack 2 ・Windows Vista Service Pack 2 ・Windows Vista x64 Edition Service Pack 2 ・Windows Server 2008 for 32-bit Systems Service Pack 2 ・Windows Server 2008 for x64-based Systems Service Pack 2 ・Windows 7 for 32-bit Systems Service Pack 1 ・Windows 7 for x64-based Systems Service Pack 1 ・Windows Server 2008 R2 for x64-based Systems Service Pack 1 ・Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 ■以下の OS 上で動作する Internet Explorer 9 ・Windows Vista Service Pack 2 ・Windows Vista x64 Edition Service Pack 2 ・Windows Server 2008 for 32-bit Systems Service Pack 2 ・Windows Server 2008 for x64-based Systems Service Pack 2 ・Windows 7 for 32-bit Systems Service Pack 1 ・Windows 7 for x64-based Systems Service Pack 1 ・Windows Server 2008 R2 for x64-based Systems Service Pack 1 ■以下の OS 上で動作する Internet Explorer 10 ・Windows 7 for 32-bit Systems Service Pack 1 ・Windows 7 for x64-based Systems Service Pack 1 ・Windows Server 2008 R2 for x64-based Systems Service Pack 1 ・Windows 8 for 32-bit Systems ・Windows 8 for x64-based Systems ・Windows Server 2012 ・Windows RT ■以下の OS 上で動作する Internet Explorer 11 ・Windows 7 for 32-bit Systems Service Pack 1 ・Windows 7 for x64-based Systems Service Pack 1 ・Windows Server 2008 R2 for x64-based Systems Service Pack 1 ・Windows 8.1 for 32-bit Systems ・Windows 8.1 for x64-based Systems ・Windows Server 2012 R2 ・Windows RT 8.1 2 想定される脅威 本脆弱性を利用した悪意のあるWebサイトを閲覧した場合、コンピュータにて意図せ ぬプログラムが実行され、当該コンピュータに保存されているデータの改ざん、削除、漏え い等が発生する可能性があります。 3 暫定的な回避策 マイクロソフト社などより、複数の回避策が公開されています。 マイクロソフト社からの修正プログラムが公開されるまでは、利用形態を考慮し、回避策 の実施をご検討ください。 ・EMET(Enhanced Mitigation Experience Toolkit)4.1 を使用する。 ※EMET3.0 はこの問題を緩和しません。 EMET 4.1 は、ソフトウェアの脆弱性が悪用されるのを防止するために Microsoft 社が提供しているツールです。 導入する際には、次のページを参考にしてください。 Enhanced Mitigation Experience Toolkit http://support.microsoft.com/kb/2458544/ja •VGX.DLL を無効にする 以下のコマンドを実行して、本脆弱性に関連する VGX.DLL の登録を無効 にします。これにより VML (Vector Markup Language) によるベクター 画像が描画されなくなります。 "%SystemRoot%¥System32¥regsvr32.exe" -u "%CommonProgramFiles%¥Microsoft Shared¥VGX¥vgx.dll" ・インターネットおよびローカル イントラネット セキュリティゾーンの設定を「高」に設 定し、これらのゾーンで ActiveX コントロールおよびアクティブスクリプトをブロック する。 ・Internet Explorer 11 を使用している場合、拡張保護モードを有効にする。 ・Adobe Flash Player のアドオンを無効にする。 ・いずれの対策も難しい際には、Webサイトを閲覧する際に Internet Explorer 以外のブ ラウザを使用する。 上記の回避策の詳細、およびその他の回避策は、Microsoft 社のアドバイザリ(2963983) をご参照ください。 参考情報 •Microsoft Security Advisory (2963983) http://technet.microsoft.com/ja-jp/security/advisory/2963983 4 参考情報 ・Microsoft Internet Explorer Use-After-Free Vulnerability Guidance https://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-InternetExplorerUse-After-Free-Vulnerability-Being ・Use-after-free vulnerability in VGX.DLL in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors, as exploited in the wild in April 2014. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1776 ・New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targetinginternet-explorer-versions-9-through-11-identified-in-targeted-attacks.html ・再び IE にゼロデイ脆弱性 - 標的型攻撃も確認、Windows XP 環境は特に注意を http://news.mynavi.jp/news/2014/04/28/195/ 担 当:情報統括本部情報セキュリティ対策室 e-mail:security-room@iii.kyushu-u.ac.jp 電 話:内線 箱崎 7647 外線 092(642)7647
© Copyright 2024 Paperzz