米Microsoftは17日、Internet Explorer(IE) 9/10/11にリモートから任意のコードが実行される脆弱性が存在することを明らかにした。脆弱性を悪用した攻撃はすでに確認されており、JPCERTコーディネーションセンター(JPCERT/CC)でも注意を呼び掛けている。
スクリプトエンジンのJScriptを扱うコンポーネントにおいて、メモリ破損の脆弱性(CVE-2020-0674)が存在する。細工されたHTMLファイル(ウェブページやメールの添付文書)、PDFファイル、Office文書、IEのスクリプトエンジンで作成された、コンテンツの挿入をサポートする文書をユーザーが閲覧することで、任意のコードを実行される可能性がある。
1月20日時点で同脆弱性への対策方法はMicrosoftから提供されていないが、月次セキュリティ更新プログラムのタイミング(次回は日本時間2月12日に実施)などで同脆弱性の修正を含む更新プログラムを提供する予定。
回避策として、古いバージョンのJScriptをサポートする「jscript.dll」へのアクセスを制限することで脆弱性の悪用を防止できるとしている。なお、デフォルトで使用されている「jscript9.dll」についてはこの脆弱性を受けない。
「jscript.dll」の使用を制限することで、古いバージョンのJScriptを使用するウェブサイトや文書ファイルの閲覧に影響が生じる可能性があるとしている。そのため、回避策の適用については影響範囲を考慮の上、実施するよう呼び掛けている。
「Internet Explorer」に未修正の脆弱性、すでに悪用した攻撃を確認 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1230236.html