IEで見つかった脆弱性

昨日からInternet Explorer(IE)の全バージョン、IE6 〜 IE11に脆弱性が見つかったと騒がれていますね。

自分もIE11を使っているの念のため調べておきます。

問題はメモリ上のすでに削除されたオブジェクト、または適切に割り当てられなかったオブジェクトにアクセスできてしまうことらしいですが、自分にはどう危ないのかよくわかりません。

下記が該当問題に対するニュース記事
IE全バージョンにコード実行のセキュリティ脆弱性 – Microsoft
IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし

わかりやすく言うと「ユーザーに偽のサイトでリンクをクリックさせてコード(プログラム)を実行させることが可能となる」とのこと。

最近UFJが「偽サイトに引き込んで口座のパスワードを盗もうとする偽メールが出回ってるから気を付けてください!!」なんてCMをやってますが、そういった感じなのかな?

一番適切な方法は、WindowsUpdateの設定を自動更新にして常に最新の更新が自動的に適応されるようにすることらしいです。

当たり前と言えば当たり前ですが、やってない人が意外と多い。

しかし、たまにバグで不具合起こしちゃう更新もあったりするので、何でもかんでも更新すればいいってものでもないんですよね。

うーん、難しい。

今回の脆弱性に対するセキュリティー更新はまだ公開されていないようなので、ほかの方法で対策を考えます。

下記記事に3つの対策方法が記載されています。
セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

一番手軽なのは回避方法3の「拡張保護モードを有効にする」でしょうか。

インターネットオプション > 詳細設定 > セキュリティー

と辿っていくと「暗号化されたページをディスクに保存しない」の下あたりにあるらしいのですが・・・

見当たらない。

あれ、最新のIE11のはずなのに・・・

32bitだからかな?

とりあえずこの方法が使えないので、EMET4.1をインストールする方法で行きたいと思います。

EMET4.1を使うためには、.NET Framework 4以降がインストールされている必要があるので、PCにインストールされてるか確認してみてください。

されてない場合は下記からダウンロードできます。
Microsoft .NET Framework 4.5

そして下記リンク先がEMET4.1のダウンロードページです。
Enhanced Mitigation Experience Toolkit 4.1

インストール方法は下記ページもといPDFを参考にしてみてください。
EMET のインストール 1. EMET4.1 のインストール を使うためには

今回の脆弱性はテレビのニュースでも大々的に取り上げられていますが、こういった脆弱性は結構見つかってる気がします。

そんなに珍しいものではないと思うんですが、たぶんサポートが切れたXPを使ってる人が多いからだと思います。

XPに関しては今回の脆弱性のみならず、今後こういった脆弱性が見つかっても一切セキュリティー更新されないですからね。

OSのバージョンアップに関して言えば、確かにWindowsのOSバージョンアップは高い。

せめて前バージョンからは安くなるようにバージョンアップ版とか作ってくれたらいいのに。

Adobeでさえ安価なバージョンアップ版が存在するんだし。

Macなんかは今回からタダになったわけですし。

でも、MicrosoftはAppleみたいにPC本体を売ってるわけじゃないのでOS売らないとお金にならないし、そういった部分が足かせになってるのかな?

でもバーションアップ版は作るべきだと思う。

※追記※
Windows8からはバージョンアップ版があります。

でも1万円以上するのは高いと思う・・・

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です