Internet Explorer 6～11の新たな脆弱性、マイクロソフトが対策を提示

　マイクロソフトは28日、Internet Explorerの脆弱性に対して、新たな標的型攻撃が登場したことを発表した。現時点で、脆弱性を解消する修正プログラムは提供されていないが、さまざまな回避策が公表されている。

　この脆弱性「CVE-2014-1776」は、9日にサポートが終了したInternet Explorer 6をはじめ、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、およびInternet Explorer 11に存在している。細工されたコンテンツを開くことで、任意のコードが実行されるというもので、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があるという。

　これについて、マイクロソフトは「セキュリティアドバイザリ2963983」を公開。一時的な回避策6種を提示している。回避策は、根本的な問題を正すものではないが、セキュリティ更新プログラムが公開されるまでのあいだ、危険が緩和されるとのこと。とくにサポートが終了したWindows XPではセキュリティ更新プログラムは提供されないため、なんらかの回避策が必須となるだろう。

　マイクロソフトが現在提示している回避策は「Enhanced Mitigation Experience Toolkit（EMET）4.1を使用する」「インターネットおよびローカルイントラネットセキュリティゾーンの設定を「高」に設定し、これらのゾーンでActiveXコントロールおよびアクティブスクリプトをブロックする」「インターネットおよびイントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するようにInternet Explorerを構成する、または、アクティブスクリプトを無効にするよう構成する」「VGX.DLLの登録を解除する」「VGX.DLLに対するアクセス制御リスト（ACL）の制限を強化する」「［拡張保護モードを有効にする］（Internet Explorer 11の場合）と［拡張保護モードで64ビットプロセッサを有効にする］」の6種。

　このなかでは、EMET 4.1の導入と、VGX.DLLの登録解除がお勧めだろう。EMET 4.1は、ソフトウェアの脆弱性が悪用されるのを防止するためにマイクロソフトが提供しているツールで、導入後に、Internet Explorer（およびOffice、Outlookなどモジュールを利用するソフト）を指定する必要がある。VGX.DLLを無効にするには、commandからコマンドを実行する必要がある。