ステップ・バイ・ステップ

Step By Step

20代会社員。人生を一歩ずつ、歩いています。

IE(インターネットエクスプローラー)の脆弱性問題

米国時間4月28日、マイクロソフト社によってインターネット閲覧ソフトIE(インターネットエクスプローラー)の脆弱性が発表されました。
(既に修正プログラムが配布済みです)

このIE脆弱性問題について、twitterでは「事件をよく理解できていない人への説明に苦労する」という内容のツイートが多くあったようです。そういったツイートは皮肉交じりに投稿されていると思うのですが、一貫して「IEを使わずに、別のブラウザを使用する」という対処療法だけは理解しているものの、今回発表された脆弱性がそもそもどういったもので、なぜ別のブラウザを使用すれば問題ないのか端的に説明しているものが無かったように感じました。
せっかくなので、少し整理します。

4月28日にマイクロソフト社がIE脆弱性についてセキュリティ警告を発表する。
マイクロソフト「IE」の脆弱性に世界震撼 | オリジナル | 東洋経済オンライン | 新世代リーダーのためのビジネスサイト

http://www.kb.cert.org/vuls/id/222929
特別な細工を施された(任意の攻撃コードを実行させるような)Webサイトを閲覧した際に、影響がでる。攻撃はFlash経由の模様。

  • 対応策
  • Flashプラグインを無効化
  • IE以外のブラウザを使用
  • EMET(Enhanced Mitigation Experience Toolkit)*1の導入
  • VGX.dllの無効化*2

5月2日より修正プログラムの配布。

Updating Internet Explorer and Driving Security - The Official Microsoft Blog - Site Home - TechNet Blogs

セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs

自動更新設定になっていれば、Windows Updateによって適用される。


セキュリティのトビラ (12) IE脆弱性の"緩和策"と、ユーザへの正しい伝え方を考える | マイナビニュース
ニュース - IEの深刻なゼロデイ脆弱性、MSが「回避策まとめ」を公開:ITpro