Hebikuzure's Tech Memo

2014年5月1日

セキュリティ アドバイザリ 2963983 の回避策の再検証

Filed under: Internet Explorer — hebikuzure @ 2:30 午後

Protection strategies for the Security Advisory 2963983 IE 0day
http://blogs.technet.com/b/srd/archive/2014/04/30/protection-strategies-for-the-security-advisory-2963983-ie-0day.aspx

マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される については一つ前の投稿でも解説していますが、ここで案内されている回避策についての詳細な検証結果が Security Research & Defense ブログで公開されています。

詳しい内容は原文を見ていただく方が良いでしょうが、簡単に要約すると以下のようになります。

  • EMET は有効
    EMET 4.0 および EMET 4.1 の利用は回避策として有効。また EMET 5.0 technical preview も有効 
    EMET 4.0 / 4.1 は既定値でも現在の攻撃を防御できるが、Deep Hooks を有効にするとより強力 (EMET 5.0 technical preview では既定で有効)
    Deep Hooks を既定で有効にした EMET 4.1 の改訂版をリリースする
  • VGX.DLL の無効化の効果は限定的
    VGX.DLL の無効化によって、現在の攻撃は防御できる
    VGX.DLL のコード自体には脆弱性は無かったので、この無効化は今回の攻撃に限った回避策である
  • 拡張保護モードは有効
    IE10 / IE11 共に拡張保護モードを有効にすることで攻撃は回避可能
    ただし Windows 8 上の IE11 では [拡張保護モードで 64 ビット プロセッサを有効にする] も有効にする必要がある

まとめとして以下の回避策を推奨しています。

  • EMET の利用
  • VGX.DLL の無効化
  • 拡張保護モードの利用

昨日の記事と併せて参考にしてください。

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

WordPress.com で無料サイトやブログを作成.