IE6~9に重大な脆弱性有り対策方法はまだ無い(2012年9月)

2012年9月20日

IE(Internet Exploror)の欠陥が判明。

タイトルを「IEがやばい、今すぐ消せ」にしようと思ったくらい危険らしく、IEは元からぶっ壊れていると思うけれど、未だに日本国内の利用ユーザは多く、特に役所関係でIEでしか動かない仕様多し。

発表は2日前で未だ解決されておりません。

IEがどうやばいのかニュースサイトより

数あるニュース記事の中で、ITmediaが最も詳しく分かり易かったのでどうぞ。

IEに新たな脆弱性が発覚、当面は別ブラウザの利用を - ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/18/news030.html

IEを使うと何が起きそうなのか3行で引かせてもらうと。

  • IE 7と8を標的とした攻撃が既に発生
  • 脆弱性はIE 7/8/9に存在
  • 細工を施したWebサイトをユーザーが見ただけで被害に遭う可能性

6はサポートが終了しているのでスルーされているのでしょうか。

マイクロソフト側では現状解決しておらず、セキュリティ検証の専門家が言うには対策されるまでIE以外に乗り換えろとの当然のご意見。

上のリンク先記事は9月18日の8時頃に更新。続きのような記事が、翌日7時頃に掲載されております。 

IEの脆弱性に関するアドバイザリ公開 回避策の適用を - ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/19/news024.html

同じく3行にすると。

  • 米Microsoftは9月17日にアドバイザリを公開して脆弱性の存在を確認
  • Microsoftは(中略)更新プログラムを通じてこの脆弱性に対処
  • 当面の攻撃を防ぐための対策としてEMETというツールの利用を

マイクロソフトは17日に知ってた状態で、対策が分かり次第Windowsアップデートで更新するとの事。EMETについては次で。

 

IEの危険性を軽減する方法や詳細情報

マイクロソフトが提供しているアドバイザリなる情報公開。

マイクロソフト セキュリティ アドバイザリ (2757760): Internet Explorer の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2757760

これは3行にならず、専門用語が多いので簡単な所だけ引かせてもらうと。

マイクロソフトは、Internet Explorer 6、7、8、および 9 に存在する脆弱性についての公開された報告を調査しています。Internet Explorer 10 は影響を受けません。

IE6~9がターゲットな所はITmediaの記事とほぼ同じ。しかしIE10は影響を受けないとされているけれど、10はまだテストバージョンで相当使いづらいらしく、標準化はWindows8から。

脆弱性に関する詳細は

リモートでコードが実行される脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性

要するにトロイの木馬に感染した状態になり、第三者が外部から勝手に情報を抜き出したり操作される可能性が有るという意味。

感染経路はWebページとの事なので、もし私が悪意有りそのコードを入手し当記事へ貼り付けておけば、IEで見ている人へ攻撃準備出来る(可能性有り)という事。

問題を緩和する要素としていくつか挙げられているけれど大した事は書かれておらず、役に立つとは思えない。

影響を受けるソフトウェアは、Windowsサーバー含むサポート対象の全Windowsとも言え、IEのバージョンは上で出た通り。

影響を受けないとされるWindowsを撮影。

windows8-server2012-ie10.gif

発売されていないWindowsと、IEが使えないサーバー系だけなので普通の人には無関係なものばかり。

ドイツでは政府からIE使うなと勧告が出ているそうな。

時事ドットコム:米MSのブラウザー使用停止勧告「重大な脆弱性」独政府
http://www.jiji.com/jc/c?g=int_30&k=2012091900119

記事の最後に書かれている、マイクロソフトが最新防御ソフトの配布を始めたという部分が何を指しているか不明。

2chまとめではMSE(マイクロソフトセキュリティエッセンシャル)と解釈している人が多いけれどソース無し。

しかし、これは海外の話で日本では流行らないパターンかと思いきや、普通にJVNでも警告が出ておりました。

JVNVU#480095: Internet Explorer に任意のコードが実行される脆弱性
http://jvn.jp/cert/JVNVU480095/

要点を3行にすると

  • 解放済みメモリ使用の脆弱性
  • 本脆弱性を使用した攻撃コードが公開されており、攻撃も観測
  • 2012年9月18日現在、対策方法はありません

軽減する方法として挙げられているのは、EMETとDEP。てきとうにDEP(データ実行防止)を有効にすると、通常のプログラムまで実行出来なくなる可能性も有るので、やはりEMETを使うのが簡単そう。

EMETの詳細はTechNetブログに有るけれど、専門的過ぎて意味不明。

EMETの最新バージョン EMET3.0を公開しました - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2012/05/17/3498449.aspx

ダウンロードして実行した画面がこちら。

microsoft-EMET.gif

マイクロソフトの最新防御ソフトの配布とはこれの事でしょうか。

これをどうして欲しいのか良く判らずアドバイザリのページを見ていると、設定方法が書かれておりました。

上の画像の状態から、右下の「Configure Apps」 をクリックすると別窓が開くので「Add」をクリックし、iexplore.exeの場所とファイルを指定し「OK」を押す。

emet-add-ie.gif

場所が判らない場合は以下(C:\以降)をコピーし「ファイル名」欄にペースト。

  • 32bit版・・C:\Program Files (x86)\Internet Explorer\iexplore.exe
  • 64bit版・・C:\Program Files\Internet Explorer\iexplore.exe

今適当に使ってみたところIEの動作に変化は無かったけれど、支障が出るようならDEP以外のチェックを外してみましょう。

 

恒久的な対策は日常的にIEを使わない事

IEファンや信者には本末転倒になるけれど、IEは昔から欠陥が多い上、シェアが大きかった為に攻撃者に狙われ易いウェブブラウザ。

当サイト直近1ヶ月間のデータでは未だ4割以上がIEユーザ。

ie-share-2012-09-19.gif

これを機会にGoogleの無料ウェブブラウザを使ってみましょう。

Chrome ブラウザ
https://www.google.com/intl/ja/chrome/browser/

  1. ダウンロードしてインストールし実行
  2. ブラウザ右上のスパナアイコンをクリックして設定をクリック
  3. ユーザの欄に有るボタン「ブックマークと設定をインポート」をクリック
  4. 取り込むデータを選択し「インポート」をクリック ※全項目で良い

3でこのような窓が開き、実行すればIEの状態を取込可能。

chrome-settings-import.gif

Firefoxは終わっているのでスルーしたいけれど、未だに会社などでWindows2000などを使っているなら一時的には有りでしょう。ChromeブラウザはXP以降に対応の為。※文末にて追記訂正

Chromeを入れてもIEが消えるわけでは無いので、役所の申請ページなどIEのみ対応に備えIEは放置しておけばよろしいかと。

今回のIE脆弱性対策はどうすれば良いのか

Windowsアップデートに混ざって来るらしいので、更新をオンにしておけば準備完了。但し、サポートが終了しているWindowsは放置と思われる為、やはりChromeやFirefoxをどうぞ。

Windows 7とVistaとXPのサポート終了までの期間一覧
https://btopc.jp/infomation/windows-7-vista-xp.html

(おまけ)なぜ私が必死にIEを否定するのか

このブログ記事が遠回しに分り易い。職場や学校からの閲覧注意。

MSIEを使っている人への注意喚起
http://weblogs.trancedive.com/weblog_1347958390.html

私はデザイナでは無いけれど、当ブログ(BTOパソコン.jp※旧~.com)を始めた頃からIEの壊れさ加減に呆れており、とっとと無くなって欲しい次第。

簡単かつ専門的にいうと、IE対策用CSSとか偉大なるマイクロソフト様専用ソースとか面倒過ぎてやりたくないので、Chromeなど、IE以外への乗り換えを切に願っております。


当日11時頃追記訂正:上でWindows2000用にFirefoxを勧めておりますが、旧バージョンのダウンロードが終了しており言われて気付いた。メールにてご指摘、有り難う御座います。

旧バージョンのダウンロード | 次世代ブラウザ Firefox
http://www.mozilla.jp/firefox/download/older/

となると代用にはOperaなど。IEより良いブラウザは沢山有るけれど、サポートが終了しているOSもある意味危険なので、可能ならとっとと7へ乗り換えましょう。

私は今これを書く為にFirefox4.01を使っているけれど、これもこれでセキュリティ面で不安がございます。

しかしこれでFirefoxは本格的に終わりですな。旧Verが必要なら手持ちのアーカイブを保管しておきましょう。お勧めはしないけれど。

今月のオススメBTOパソコン

リンク用ソース

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★ 長保証: ★★

コスパ: ★★★★★ 安保証: ★★

部品選: ★★★☆☆

初心者や実用重視のPCユーザー向け。デスクトップ以外にノートも多数有り価格と性能のバランスが良く選びやすい。全国に実店舗が多数有るBTO PCメーカー。

マウスコンピューター

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ★★

部品選: ★★★☆☆

パソコン工房と同様に機種が多くノートの取扱も有りゲーム用やクリエイター向けPCも有り。送料が比較的高額なので総額注意。知名度は国内トップクラス。

ドスパラ

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ☆☆

部品選: ★★★☆☆

デスクトップPCならパソコン工房とマウス以外にドスパラも見る価値有り。秋葉原に本拠地を構える昔ながらのBTOパソコンメーカーで知名度はマウス並に高い。

DELL

高性能: ★★★☆☆ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ☆☆

部品選: ☆☆☆☆

2011年頃から安く無くDELLを選択肢に入れる理由が薄く回線抱き合わせ販売の価格がまぎらわしい。ゲームPCのAlienwareは見た目重視コスパ最悪なので要注意。

日本HP

高性能: ★★★★ 長保証: ★★

コスパ: ★★★☆☆ 安保証: ★★

部品選: ☆☆☆☆

高性能ノート以外は見る価値が薄く高額なLenovoという感じ。早々にWindows 7を捨て8に切り替えたので7が必要なら行っても無駄。2012年後半から迷走中。

TSUKUMO

高性能: ★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★

部品選: ★★☆☆☆

ヤマダ電機による買収後はマニアックな感は無くなり家電通販のような普通のパソコン屋に。BTO PCは機種が少なくやや割高。ツクモファンなら選択肢へ。

FRONTIER

高性能: ★★★☆☆ 長保証: ☆☆☆

コスパ: ★★☆☆☆ 安保証: ☆☆☆

部品選: ★★☆☆☆

2013年7月に(株)KOUZIROが倒産しヤマダ電機子会社インバースネットが続投。長期保証が消滅。これと言った特徴が無く難点は有れど利点が見当たらない。

サイコム

高性能: ★★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★★

部品選: ★★★★★

自作しない中~上級者のPCユーザ向け。初心者にはカスタマイズが難しく動かない構成でも購入できるので注意。パーツへのこだわりや知識が有るなら。

※並びはBTOメーカーの知名度の順。大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

お知らせ


Windows 7サポート終了は2020年1月14日

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。