ページの本文へ

Hitachi Logo
earth icon
    mail icon お問い合わせ
    Hitachi Global
    Hitachi Global

    HIRT-PUB14007:Microsoft Internet Explorer の脆弱性 (CVE-2014-1776) 対策

    (JVNVU#92280347, JVNDB-2014-002260, CVE-2014-1776)

    更新日:2014年05月02日

    1. 概要

    Microsoft Internet Explorer 6 ~ 11 には、メモリ破損に起因し、Web サイトに掲載されている不正なファイルを開くなどを契機とした受動型(誘導型)攻撃により、任意のコード実行を許してしまう脆弱性 (CVE-2014-1776) が存在します。 報告された脆弱性 (CVE-2014-1776) は既に侵害活動に利用されていますので、すみやかにセキュリティアップデートを実施してください。

     

    2014年4月26日
    FireEye から Internet Explorer 9 ~ 11 を攻撃対象とする脆弱性を悪用する侵害活動が報告されました (Operation Clandestine Fox と命名)

     

    2014年4月27日
    SecurityWeek によって、標的型攻撃の対象が米国の防衛と金融機関で、報告書を装った標的型メール攻撃であるという記事が投稿されました。

     

    2014年4月28日 (日本時間)
    マイクロソフトより、セキュリティ アドバイザリ (2963983) が公開されました。

     

    2014年5月2日 (日本時間)
    マイクロソフトより、Internet Explorer 用のセキュリティ更新プログラム (MS14-021) リリースされました。

     

    CVSSによる深刻度

     

     基本値:9.3
      攻撃元区分:ネットワーク
      攻撃条件の複雑さ:中
      攻撃前の認証要否:不要
      機密性への影響(C):全面的
      完全性への影響(I):全面的
      可用性への影響(A):全面的

     

     現状値:8.1 (2014年5月2日時点)
      攻撃される可能性:容易に攻撃可能
      利用可能な対策のレベル:正式対策
      脆弱性情報の信頼性:開発者が情報を確認済

     

    CVSS:2.0 AV:N/AC:M/Au:N/C:C/I:C/A:C/E:H/RL:OF/RC:C

    2. 影響を受けるシステム

    + Microsoft Internet Explorer 6
    + Microsoft Internet Explorer 7
    + Microsoft Internet Explorer 8
    + Microsoft Internet Explorer 9
    + Microsoft Internet Explorer 10
    + Microsoft Internet Explorer 11

    3. 想定される影響

    Microsoft Internet Explorer の実装に起因する任意のコード実行を許してしまう脆弱性です。 攻撃者は該当するシステムにおいて、プログラムインストール、表示、変更、データ削除、全てのアクセス権限を持つ新規アカウントの作成など、システム上でのあらゆる操作を実行する可能性があります。

    4. 対策

    (対策) 修正プログラムを適用する
    2014年05月02日(日本時間) マイクロソフトより、セキュリティ更新プログラム (MS14-021) がリリースされました。

     

    マイクロソフト
    MS14-021: Internet Explorer 用のセキュリティ更新プログラム (2965111)
    https://technet.microsoft.com/ja-JP/library/security/ms14-021

    5. 関連情報

    5.1 脆弱性識別

    Microsoft Internet Explorer に存在する脆弱性には、次の脆弱性識別番号が付与されています。

     

    CVE-2014-1776
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1776

    JVNDB-2014-002260
    http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002260.html

    JVNVU#92280347
    http://jvn.jp/vu/JVNVU92280347/index.html

     

    5.2 注意喚起

    IPA
    Internet Explorer の脆弱性対策について(CVE-2014-1776)
    https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

    JPCERT/CC
    JPCERT-AT-2014-0020: マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140020.html

    JPCERT-AT-2014-0018: 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140018.html

     

    5.3 その他

    FireEye
    New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
    http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

    SecurityWeek
    Nasty IE Zero-Day Used in Attacks Against Defense, Financial Sectors: FireEye
    http://www.securityweek.com/nasty-ie-zero-day-used-attacks-against-defense-financial-sectors-fireeye

    6. 更新履歴

    2020年10月23日

    • CVSS 2.0 計算機リンク:Flash 版から JavaScript 版に変更しました。

    2014年05月02日

    • このページを新規作成および公開しました。

    担当:寺田、大西/HIRT