Internet Explorer の脆弱性 (セキュリティ アドバイザリ 2963983) について


こんにちは、Internet Explorer サポート担当の原です。

4 月 28 日に公開しました Internet Explorer の脆弱性について、ご心配をおかけし申し訳ございません。

取り急ぎとなりますが、現時点で公開している回避策などの詳細について紹介します。

 

[2014 年 5 月 14 日 10:30 追記]

MS14-021 の置き換えとなる新しいセキュリティ更新プログラム MS14-029 を公開しました。

MS14-029 では、MS14-021 で対応している脆弱性の問題に加え、異なる脆弱性の問題を修正しています。

MS14-029 を適用すれば、MS14-021 の適用は必要ありません。

 

なお、MS14-029 は "累積的な" セキュリティ更新プログラムではないことに引き続きご注意ください。

後述の [注意点 2] にあるように、別途最新の累積的なセキュリティ更新プログラムを適用する必要があります。

 

  マイクロソフト セキュリティ情報 MS14-029 - 緊急

  Internet Explorer 用のセキュリティ更新プログラム (2962482)

  https://technet.microsoft.com/ja-jp/library/security/ms14-029

 

[2014 年 5 月 2 日 13:00 追記 15:30 更新]

本脆弱性につきまして、本日セキュリティ更新プログラムを公開しております。セキュリティ更新プログラムの適用をお願いいたします。

更新プログラム本体については、Windows Update で公開されていますが、以下の TechNet サイトからもダウンロードいただけます。

 

  マイクロソフト セキュリティ情報 MS14-021 - 緊急

  Internet Explorer 用のセキュリティ更新プログラム (2965111)

  https://technet.microsoft.com/ja-jp/library/security/ms14-021

 

  文書番号 : 2965111

  タイトル : MS14-021: Security update for Internet Explorer: May 1, 2014

  http://support.microsoft.com/kb/2965111/ja

 

本セキュリティ更新プログラムにつきまして、弊社セキュリティ チームでも情報を案内しておりますので、合わせてご覧ください。

 

  セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開

  http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

 

Microsoft Update カタログからもダウンロード可能ですので、直接入手される場合は以下もご参考ください。

 

  Microsoft Update カタログ (MS14-021 で検索ください)

  http://catalog.update.microsoft.com/v7/site/Home.aspx

 

[注意点]

本脆弱性への対策として、既に VGX.DLL の登録解除を実施されている場合、上記セキュリティ更新プログラムの適用では VGX.DLL の再登録は行われません。

セキュリティ更新プログラムの適用前に VGX.DLL を再登録しなくても、更新プログラムの適用には成功しますが、VML の描画は依然として行えない状態です。

必要に応じて、VGX.DLL の再登録をご検討ください。

 

[注意点 2]

本日の更新プログラム (MS14-021) のみの適用では、互換性の問題が発生する可能性があります。

そのため、最新の累積的なセキュリティ更新プログラム (MS14-018、IE11 のみ MS14-012) を合わせて適用ください。

 

MS14-018 (IE11 では MS14-012) を適用していなくても、本日の更新プログラム (MS14-021) を適用することができます。

しかしながら、MS14-021 は IE のすべての更新を含む累積的な更新プログラムではないため、合わせて MS14-018 / MS14-012 を適用することを強くお奨めいたします。

また、もしも MS14-021 のみの適用でなんらかの問題が発生する場合も、MS14-018 / MS14-012 の適用により解決する可能性が高いです。

 

---

まずは以下の記事をご覧いただき、対策をご検討くださいますと幸いです。

 

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

 

セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx

 

なお、vgx.dll の登録を解除すると、VML と呼ばれる、線や円などのベクトル図形を表現する記述が含まれる Web ページの描画が行われません。

弊社では現在、脆弱性の修正を含む根本的な対応策を検討しておりますが、この問題に対処するセキュリティ更新プログラムが利用可能になったら、vgx.dll の再登録をご検討ください。

 

[2014 年 5 月 1 日追記]

よくあるご質問をまとめて公開しましたので、以下も是非ご参考ください。

 

[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/05/01/faq-security-advisory-2963983.aspx

 

また、vgx.dll の登録が解除できたかどうかを確認する方法についてお問い合わせをいただいているため、以下に案内します。いずれかの方法でご確認ください。

 

1. レジストリを確認する

vgx.dll の登録が正しく解除できている場合、以下のレジストリが存在しない状態になります。

 

32 ビット環境 (2 )

 ・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 ・HKEY_CLASSES_ROOT\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 

64 ビット環境 (4 )

 ・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 ・HKEY_CLASSES_ROOT\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 ・HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 ・HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}

 

2. VML のサンプルが表示できるかどうかを確認する

以下の HTML をファイルに保存し、IE 上で表示します。通常ですと青い円が表示されますが、vgx.dll の登録を解除した場合には表示されません。


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns="http://www.w3.org/1999/xhtml" xml:lang="ja" lang="ja">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=5" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>VML TEST</title>
<style type="text/css">
 v\:line, v\:rect, v\:roundrect, v\:oval { behavior: url(#default#VML); display:inline-block; }
</style>
</head>
<body>
VML Oval TEST<BR>
<v:oval style='width:200px;height:100px' fillcolor='blue' />
</body>
</html>

 

---

より詳細な情報をお求めの場合は、以下のセキュリティ アドバイザリをご覧ください。

今後の最新情報は、わかり次第以下のサイトに追記してまいります。

 

マイクロソフト セキュリティ アドバイザリ 2963983

Internet Explorer の脆弱性により、リモートでコードが実行される

https://technet.microsoft.com/ja-JP/library/security/2963983

 

どうぞよろしくお願いいたします。

Comments (3)

  1. はてな より:

    楕円形の青い丸を見ることができました。
    教えて頂き、有難うございます。

  2. はてな より:

    詳しいコメントを頂き、ありがとうございます。

    2. VML のサンプルが表示できるかどうかを確認する
    以下の HTML をファイルに保存し、IE 上で表示します。通常ですと青い円が表示されますが、vgx.dll の登録を解除した場合には表示されません。
    と書いてありますが、HTML をファイルに保存し、IE 上で表示します。は、
    どうやってやるのでしょうか。
    よろしくお願い致します。

  3. コメントをありがとうございます。
    "メモ帳" などのアプリケーションを起動し、サンプル部分の文字列をコピー & ペーストします。
    そして、[ファイル] - [名前を付けて保存] でデスクトップなどに "test.htm" などの名前で保存します。
    この時、種類は [すべてのファイル] を選んでください。
    最後に、保存したファイルをダブル クリックすると、IE が起動して HTML が表示されると思います。

Skip to main content