お知らせ - Information

[注意喚起] Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) について

日付: 2018年12月21日

JPCERT/CC から標記の注意喚起がありました。
Microsoft社の Windowsをお使いの方、Internet Explorer をインストールしてある端末をお使いの方は、必ずご対応してください。
公表された CVE-2018-8653 の脆弱性について、Microsoft社は「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用してください。

 Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関する注意喚起

   https://www.jpcert.or.jp/at/2018/at180051.html

I. 概要
マイクロソフトから Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) に関するセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。マイクロソフトは、本脆弱性の悪用を確認しているとのことです。

脆弱性の詳細は、次の URL を参照してください。

      マイクロソフト株式会社
      CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性
 
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653
      - KB4483187, KB4483230, KB4483234, KB4483235, KB4483232, KB4483228
        KB4483229

II. 対象
対象となる製品とバージョンは以下の通りです。

      Internet Explorer 11
      - Windows 10 Version 1703 for 32-bit Systems (KB4483230)
      - Windows 10 Version 1703 for x64-based Systems (KB4483230)
      - Windows 10 Version 1803 for 32-bit Systems (KB4483234)
      - Windows 10 Version 1803 for x64-based Systems (KB4483234)
      - Windows 10 Version 1803 for ARM64-based Systems (KB4483234)
      - Windows 10 Version 1809 for 32-bit Systems (KB4483235)
      - Windows 10 Version 1809 for x64-based Systems (KB4483235)
      - Windows 10 Version 1809 for ARM64-based Systems (KB4483235)
      - Windows Server 2019 (KB4483235)
      - Windows 10 Version 1709 for 32-bit Systems (KB4483232)
      - Windows 10 Version 1709 for 64-based Systems (KB4483232)
      - Windows 10 Version 1709 for ARM64-based Systems (KB4483232)
      - Windows 10 for 32-bit Systems (KB4483228)
      - Windows 10 for x64-based Systems (KB4483228)
      - Windows 10 Version 1607 for 32-bit Systems (KB4483229)
      - Windows 10 Version 1607 for x64-based Systems (KB4483229)
      - Windows Server 2016 (KB4483229)
      - Windows 7 for 32-bit Systems Service Pack 1 (KB4483187)
      - Windows 7 for x64-based Systems Service Pack 1 (KB4483187)
      - Windows 8.1 for 32-bit systems (KB4483187)
      - Windows 8.1 for x64-based systems (KB4483187)
      - Windows RT 8.1 (KB4483187)
      - Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4483187)
      - Windows Server 2012 R2 (KB4483187)

      Internet Explorer 10
      - Windows Server 2012 (KB4483187)

      Internet Explorer 9
      - Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4483187)
      - Windows Server 2008 for x64-based Systems Service Pack 2 (KB4483187)

III. 対策
Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

      Microsoft Update Catalog
      https://www.catalog.update.microsoft.com/

      Windows Update: FAQ
      https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

マイクロソフトから、アップデートに関する情報とともに、本脆弱性に対する回避策も説明されています。
マイクロソフトによると本脆弱性は、 JScript スクリプトエンジンにおけるメモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避することができるとのことです。
jscript.dll へのアクセス制限を施すことで、JScript を利用する Web サイト等で影響が生じる可能性は考えられるため、回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

IV. 参考情報
      マイクロソフト株式会社
      CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性
 
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8653

      マイクロソフト株式会社
      December 2018 Security Update Release
 
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/

      マイクロソフト株式会社
      2018 年 12 月のセキュリティ更新プログラム (月例)
 
https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/

      CERT/CC Vulnerability Note VU#573168
      Microsoft Internet Explorer scripting engine JScript memory corruption vulnerability
      https://www.kb.cert.org/vuls/id/573168/

      Japan Vulnerability Notes JVNVU#91880486
      Internet Explorer の JScript スクリプトエンジン におけるメモリ破損の脆弱性
      https://jvn.jp/vu/JVNVU91880486/