Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した。
CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されている。
攻撃者がこの脆弱性を悪用し、影響を受けるシステムを制御する可能性があり、悪意あるプログラムインストール後には、データの表示、変更、または削除。または、完全なユーザー権限で新しいアカウントを作成するなどが予想される。
攻撃者がこの脆弱性を悪用し、影響を受けるシステムを制御する可能性があり、悪意あるプログラムインストール後には、データの表示、変更、または削除。または、完全なユーザー権限で新しいアカウントを作成するなどが予想される。
Webベースの攻撃シナリオとして、攻撃者はInternet Explorerを介して脆弱性を悪用するように設計された特別に細工されたWebサイトをホストし、ユーザーに電子メールを送信するなどしてWebサイトを表示させたり、加工した Microsoft Office 文書などを実行させたりする攻撃が行われる可能性がある。
回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。
それに加え、対策や回避策を適用するまでは、不審なサイトへの接続やファイルの実行をしないよう、警戒を強めることを推奨する。
なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。
それに加え、対策や回避策を適用するまでは、不審なサイトへの接続やファイルの実行をしないよう、警戒を強めることを推奨する。
なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。
この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9~11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。