Microsoft、Internet Explorerのゼロデイ脆弱性を公表

Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した( セキュリティアドバイザリ、 Softpediaの記事)。

CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されており、攻撃者が電子メールなどを通じて特別に細工したWebサイトにアクセスするようターゲットを誘導するといったシナリオが提示されている。

回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9～11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。　
Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる 2019年06月22日

スラドのコメントを読む | ITセクション | セキュリティ | インターネットエクスプローラ | バグ

　関連ストーリー：
Firefox 72、リリース翌日にゼロデイ脆弱性修正版がリリースされる 2020年01月11日
デスクトップ版Google Chrome 78.0.3904.87、ゼロデイ脆弱性を含む2件の脆弱性を修正 2019年11月04日
Microsoft、既に攻撃が確認されているIEの脆弱性に対する更新プログラムをリリース 2019年09月26日