Hebikuzure's Tech Memo

2014年5月2日

IE のゼロデイへの修正プログラム提供開始

Filed under: Internet Explorer — hebikuzure @ 2:31 PM

MS14-021: Security update for Internet Explorer: May 1, 2014
https://support.microsoft.com/kb/2965111/en-us


ここ数日世間を騒がしていた Internet Explroer のゼロデイ攻撃を伴う脆弱性ですが、本日未明 (日本時間) に修正プログラムの提供が開始されました。
修正プログラムの適用により、今回の脆弱性は回避できますので、早急にインストールしましょう。

なおセキュリティ修正プログラムに関する日本語版サポート技術情報は現時点では非常に品質の良くない機械翻訳で日本語として意味をなさない状態なので、修正プログラムに関する情報は以下の日本のセキュリティ チームの記事で確認すると良いでしょう。

セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

注意事項

  • インストール上の注意
    今回のセキュリティ更新プログラムは、通常のセキュリティ更新プログラムとは異なり「累積的」ではありません。そのためこの更新プログラムをインストールする前に、Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールする必要があります。最新の更新プログラムは4月9日 (日本時間) に公開された「マイクロソフト セキュリティ情報 MS14-018 – 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (2950467)」です。4月の Windows Update の更新をインストールしていればMS14-018 の更新プログラムはインストールされているはずですが、もし未インストールの場合はまずこちらをインストールする必要があります。Windows Update を行えば、まず MS14-018 がインストールされ、再起動後にもう一度 Windows Update 行うと今回の MS14-021 がインストールされるはずですので、手動で Windows Update をする際は 2回続けて実行してください。
  • 提供範囲
    Microsoft の方針では、4月9日の更新プログラムの公開後は、以下の条件の環境への新たなセキュリティ更新プログラムの提供が行われない予定でした。
    ・Windows XP のすべてのエディション
    ・2919355 の更新プログラム (Windows 8.1 Update) をインストールしていない Windows 8.1
    しかし今回のセキュリティ更新プログラムでは、影響を考慮してこの二つの環境についても更新プログラムが提供されます。詳しくはセキュリティ チームの記事を参照してください。
  • 二つの修正プログラム
    今回の修正プログラムでは、2種類の修正プログラムが提供されます。Windows Update を行うと、利用している環境によっていずれか適切な物が検知され、インストールできます。両方をインストールする必要はありませんので、注意してください。
    二つに分かれているのは、上記で説明した 2919355 の更新プログラム (Windows 8.1 Update) のインストールの有無、および Windows Vista / Windows 7 上の Internet Explorer へのバックポートを含む 2929437 のインストールの有無、によって提供される内容が異なるからです。Windows  Update 経由でインストールする場合は自動的に判定されるので気を遣う必要がありませんが、手動でインストールする際はセキュリティ チームの記事を参照して、適切な方をインストールしてください。
  • 回避策の影響
    修正プログラム提供以前に提示されていた回避策の内、vgx.dll モジュールのアクセス制御リストを変更する方法を実施していた場合、この更新プログラムのインストール前に回避策を無効にし、vgx.dll へのアクセス権を元に戻す必要があります。元に戻さないと更新プログラムのインストールに失敗するので注意してください。
    それ以外の回避策については元に戻さずそのまま更新プログラムのインストールができます。必要に応じて回避策実施以前の設定に戻してください。ただしこれらの回避策はいぜれも今後の未知の攻撃に対して非常に有料かつ強力な防御策となりますので、セキュリティを強化する意味ではそのまま利用される事をお勧めします。
広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。