2014/02/21
22:36
Tag: 
本来月刊情報なんですが、今回は特別にここ数日に発表されたセキュリティアップデート情報概要まとめです。
1.Internet Explorer 9及び10のゼロデイ脆弱性
<参考>
- マイクロソフト セキュリティ アドバイザリ (2934088): Internet Explorer の脆弱性により、リモートでコードが実行される - TechCenter
- JVNVU#96727848: Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 - JVN
InternetWatchによると、
サイトを訪問するユーザーを標的とした水飲み場型攻撃(ウェブ待ちぶせ攻撃)とみられ、サイトを閲覧すると攻撃者によって埋め込まれたiframeにより悪質なFlashのファイルが読み込まれ、脆弱性が悪用されることで最終的にマルウェアを実行させられるとのこと。
対策は、
- IE 11にアップデートする
- EMET(Enhanced Mitigation Experience Toolkit)を導入する
- Fix it 51007を適用する
→Microsoft security advisory: Vulnerability in Internet Explorer could allow remote code execution - Microsoft Support
IE11にアップデートできない事情の方も、Fix itのみならず、今後発見されうる脆弱性への効果が期待できるEMETを同時に導入するのがおススメです。
※実際、今回のゼロデイ脆弱性情報が発表された時も、EMET導入環境には影響が無いことが発表されていました。
セキュリティ更新プログラムとEMETの防御の違い - Technet Blogs
現在報告されているのは、Flashファイルが読み込まれることを利用した脆弱性なので、現在報告されている攻撃には、FlashPlayerをアンインストールするのも効果があるのかもしれません(無いかもしれません)。
2014.02.21現在、本脆弱性向けセキュリティ更新プログラムのリリースはありません。
2.Adobe関連
- Flash Player 12(緊急度:Critical,Priority:1)
・リリース日:2014.02.20
・IE向け:12.0.0.70
・Chrome向け:12.0.0.70
3.Google Chrome 33
<参考>Chrome Releases: Stable Channel Update
- Windows向け:33.0.1750.117
・リリース日:2014.02.20
・Flash Player 12.0.0.70の更新を含む計28件の修正
