IE6~9に重大な脆弱性有り対策方法はまだ無い(2012年9月)

2012年9月20日

IE(Internet Exploror)の欠陥が判明。

タイトルを「IEがやばい、今すぐ消せ」にしようと思ったくらい危険らしく、IEは元からぶっ壊れていると思うけれど、未だに日本国内の利用ユーザは多く、特に役所関係でIEでしか動かない仕様多し。

発表は2日前で未だ解決されておりません。

IEがどうやばいのかニュースサイトより

数あるニュース記事の中で、ITmediaが最も詳しく分かり易かったのでどうぞ。

IEに新たな脆弱性が発覚、当面は別ブラウザの利用を - ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/18/news030.html

IEを使うと何が起きそうなのか3行で引かせてもらうと。

  • IE 7と8を標的とした攻撃が既に発生
  • 脆弱性はIE 7/8/9に存在
  • 細工を施したWebサイトをユーザーが見ただけで被害に遭う可能性

6はサポートが終了しているのでスルーされているのでしょうか。

マイクロソフト側では現状解決しておらず、セキュリティ検証の専門家が言うには対策されるまでIE以外に乗り換えろとの当然のご意見。

上のリンク先記事は9月18日の8時頃に更新。続きのような記事が、翌日7時頃に掲載されております。 

IEの脆弱性に関するアドバイザリ公開 回避策の適用を - ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/19/news024.html

同じく3行にすると。

  • 米Microsoftは9月17日にアドバイザリを公開して脆弱性の存在を確認
  • Microsoftは(中略)更新プログラムを通じてこの脆弱性に対処
  • 当面の攻撃を防ぐための対策としてEMETというツールの利用を

マイクロソフトは17日に知ってた状態で、対策が分かり次第Windowsアップデートで更新するとの事。EMETについては次で。

 

IEの危険性を軽減する方法や詳細情報

マイクロソフトが提供しているアドバイザリなる情報公開。

マイクロソフト セキュリティ アドバイザリ (2757760): Internet Explorer の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2757760

これは3行にならず、専門用語が多いので簡単な所だけ引かせてもらうと。

マイクロソフトは、Internet Explorer 6、7、8、および 9 に存在する脆弱性についての公開された報告を調査しています。Internet Explorer 10 は影響を受けません。

IE6~9がターゲットな所はITmediaの記事とほぼ同じ。しかしIE10は影響を受けないとされているけれど、10はまだテストバージョンで相当使いづらいらしく、標準化はWindows8から。

脆弱性に関する詳細は

リモートでコードが実行される脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性

要するにトロイの木馬に感染した状態になり、第三者が外部から勝手に情報を抜き出したり操作される可能性が有るという意味。

感染経路はWebページとの事なので、もし私が悪意有りそのコードを入手し当記事へ貼り付けておけば、IEで見ている人へ攻撃準備出来る(可能性有り)という事。

問題を緩和する要素としていくつか挙げられているけれど大した事は書かれておらず、役に立つとは思えない。

影響を受けるソフトウェアは、Windowsサーバー含むサポート対象の全Windowsとも言え、IEのバージョンは上で出た通り。

影響を受けないとされるWindowsを撮影。

windows8-server2012-ie10.gif

発売されていないWindowsと、IEが使えないサーバー系だけなので普通の人には無関係なものばかり。

ドイツでは政府からIE使うなと勧告が出ているそうな。

時事ドットコム:米MSのブラウザー使用停止勧告「重大な脆弱性」独政府
http://www.jiji.com/jc/c?g=int_30&k=2012091900119

記事の最後に書かれている、マイクロソフトが最新防御ソフトの配布を始めたという部分が何を指しているか不明。

2chまとめではMSE(マイクロソフトセキュリティエッセンシャル)と解釈している人が多いけれどソース無し。

しかし、これは海外の話で日本では流行らないパターンかと思いきや、普通にJVNでも警告が出ておりました。

JVNVU#480095: Internet Explorer に任意のコードが実行される脆弱性
http://jvn.jp/cert/JVNVU480095/

要点を3行にすると

  • 解放済みメモリ使用の脆弱性
  • 本脆弱性を使用した攻撃コードが公開されており、攻撃も観測
  • 2012年9月18日現在、対策方法はありません

軽減する方法として挙げられているのは、EMETとDEP。てきとうにDEP(データ実行防止)を有効にすると、通常のプログラムまで実行出来なくなる可能性も有るので、やはりEMETを使うのが簡単そう。

EMETの詳細はTechNetブログに有るけれど、専門的過ぎて意味不明。

EMETの最新バージョン EMET3.0を公開しました - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2012/05/17/3498449.aspx

ダウンロードして実行した画面がこちら。

microsoft-EMET.gif

マイクロソフトの最新防御ソフトの配布とはこれの事でしょうか。

これをどうして欲しいのか良く判らずアドバイザリのページを見ていると、設定方法が書かれておりました。

上の画像の状態から、右下の「Configure Apps」 をクリックすると別窓が開くので「Add」をクリックし、iexplore.exeの場所とファイルを指定し「OK」を押す。

emet-add-ie.gif

場所が判らない場合は以下(C:\以降)をコピーし「ファイル名」欄にペースト。

  • 32bit版・・C:\Program Files (x86)\Internet Explorer\iexplore.exe
  • 64bit版・・C:\Program Files\Internet Explorer\iexplore.exe

今適当に使ってみたところIEの動作に変化は無かったけれど、支障が出るようならDEP以外のチェックを外してみましょう。

 

恒久的な対策は日常的にIEを使わない事

IEファンや信者には本末転倒になるけれど、IEは昔から欠陥が多い上、シェアが大きかった為に攻撃者に狙われ易いウェブブラウザ。

当サイト直近1ヶ月間のデータでは未だ4割以上がIEユーザ。

ie-share-2012-09-19.gif

これを機会にGoogleの無料ウェブブラウザを使ってみましょう。

Chrome ブラウザ
https://www.google.com/intl/ja/chrome/browser/

  1. ダウンロードしてインストールし実行
  2. ブラウザ右上のスパナアイコンをクリックして設定をクリック
  3. ユーザの欄に有るボタン「ブックマークと設定をインポート」をクリック
  4. 取り込むデータを選択し「インポート」をクリック ※全項目で良い

3でこのような窓が開き、実行すればIEの状態を取込可能。

chrome-settings-import.gif

Firefoxは終わっているのでスルーしたいけれど、未だに会社などでWindows2000などを使っているなら一時的には有りでしょう。ChromeブラウザはXP以降に対応の為。※文末にて追記訂正

Chromeを入れてもIEが消えるわけでは無いので、役所の申請ページなどIEのみ対応に備えIEは放置しておけばよろしいかと。

今回のIE脆弱性対策はどうすれば良いのか

Windowsアップデートに混ざって来るらしいので、更新をオンにしておけば準備完了。但し、サポートが終了しているWindowsは放置と思われる為、やはりChromeやFirefoxをどうぞ。

Windows 7とVistaとXPのサポート終了までの期間一覧
https://bto-pc.jp/infomation/windows-7-vista-xp.html

(おまけ)なぜ私が必死にIEを否定するのか

このブログ記事が遠回しに分り易い。職場や学校からの閲覧注意。

MSIEを使っている人への注意喚起
http://weblogs.trancedive.com/weblog_1347958390.html

私はデザイナでは無いけれど、当ブログ(BTOパソコン.jp※旧~.com)を始めた頃からIEの壊れさ加減に呆れており、とっとと無くなって欲しい次第。

簡単かつ専門的にいうと、IE対策用CSSとか偉大なるマイクロソフト様専用ソースとか面倒過ぎてやりたくないので、Chromeなど、IE以外への乗り換えを切に願っております。


当日11時頃追記訂正:上でWindows2000用にFirefoxを勧めておりますが、旧バージョンのダウンロードが終了しており言われて気付いた。メールにてご指摘、有り難う御座います。

旧バージョンのダウンロード | 次世代ブラウザ Firefox
http://www.mozilla.jp/firefox/download/older/

となると代用にはOperaなど。IEより良いブラウザは沢山有るけれど、サポートが終了しているOSもある意味危険なので、可能ならとっとと7へ乗り換えましょう。

私は今これを書く為にFirefox4.01を使っているけれど、これもこれでセキュリティ面で不安がございます。

しかしこれでFirefoxは本格的に終わりですな。旧Verが必要なら手持ちのアーカイブを保管しておきましょう。お勧めはしないけれど。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向き。

ツクモ

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶ。ヤマダ電機の一部、または自作PCのパーツ屋さん。

フロンティア

高性能: ★★★☆☆ 保証: ☆☆☆

コスパ: ★★★★ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作したくない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。


※ドスパラはパーツの偽装疑いを誤魔化したり取引先を勝手に切る信頼性暴落した事件があり掲載中止(2020.11.26)

※マウスコンピューターは高いぞと書きまくったからか遠回しにリンク削除しろと言って来たので削除(2021.03.28)

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。