IEで見つかった脆弱性

昨日から Internet Explorer(IE)の全バージョン、IE6 〜 IE11 に脆弱性が見つかったと騒がれていますね。

自分も IE11 を使っているの念のため調べておきます。

問題はメモリ上のすでに削除されたオブジェクト、または適切に割り当てられなかったオブジェクトにアクセスできてしまうことらしいですが、自分にはどう危ないのかよくわかりません。

下記が該当問題に対するニュース記事
⇒ IE 全バージョンにコード実行のセキュリティ脆弱性 – Microsoft
⇒ IE に重大な脆弱性、サポート終了の Windows XP は修正パッチの予定なし

わかりやすく言うと「ユーザーに偽のサイトでリンクをクリックさせてコード(プログラム)を実行させることが可能となる」とのこと。

最近 UFJ が「偽サイトに引き込んで口座のパスワードを盗もうとする偽メールが出回ってるから気を付けてください!!」なんて CM をやってますが、そういった感じなのかな?

一番適切な方法は、WindowsUpdate の設定を自動更新にして常に最新の更新が自動的に適応されるようにすることらしいです。

当たり前と言えば当たり前ですが、やってない人が意外と多い。

しかし、たまにバグで不具合起こしちゃう更新もあったりするので、何でもかんでも更新すればいいってものでもないんですよね。

うーん、難しい。

今回の脆弱性に対するセキュリティー更新はまだ公開されていないようなので、ほかの方法で対策を考えます。

下記記事に3つの対策方法が記載されています。
⇒ セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

一番手軽なのは回避方法3の「拡張保護モードを有効にする」でしょうか。

インターネットオプション > 詳細設定 > セキュリティー

と辿っていくと「暗号化されたページをディスクに保存しない」の下あたりにあるらしいのですが・・・

見当たらない。

あれ、最新の IE11 のはずなのに・・・

32bit だからかな?

とりあえずこの方法が使えないので、EMET 4.1 をインストールする方法で行きたいと思います。

EMET4.1 を使うためには、.NET Framework 4 以降がインストールされている必要があるので、PC にインストールされてるか確認してみてください。

されてない場合は下記からダウンロードできます。
⇒ Microsoft .NET Framework 4.5

そして下記リンク先が EMET 4.1 のダウンロードページです。
⇒ Enhanced Mitigation Experience Toolkit 4.1

インストール方法は下記ページもとい PDF を参考にしてみてください。
⇒ EMET のインストール 1. EMET4.1 のインストール を使うためには

今回の脆弱性はテレビのニュースでも大々的に取り上げられていますが、こういった脆弱性は結構見つかってる気がします。

そんなに珍しいものではないと思うんですが、たぶんサポートが切れた XP を使ってる人が多いからだと思います。

XP に関しては今回の脆弱性のみならず、今後こういった脆弱性が見つかっても一切セキュリティー更新されないですからね。

OS のバージョンアップに関して言えば、確かに Windows の OS バージョンアップは高い。

せめて前バージョンからは安くなるようにバージョンアップ版とか作ってくれたらいいのに。

Adobe でさえ安価なバージョンアップ版が存在するんだし。

Mac なんかは今回からタダになったわけですし。

でも、Microsoft は Apple みたいに PC 本体を売ってるわけじゃないので OS 売らないとお金にならないし、そういった部分が足かせになってるのかな?

でもバーションアップ版は作るべきだと思う。

追記

Windows 8 からはバージョンアップ版があります。

でも1万円以上するのは高いと思う・・・

コメントを残す