2020年01月22日

Internet Explorer の脆弱性とその対策

先日、Windows 7 のサポートが終了。Internet Explorerについても、すでに開発はストップし、Microsoft Edge などのブラウザへの移行が望ましいことについても取り上げさせていただいたことがありました。


さてそんな中、Windows 7 のサポートが終了して、サポート対象外になった直後の Internet Explorer の脆弱性が発見され、さらにそれをついた攻撃も確認されているようです。

20200122-1-1.jpg 20200122-1-2.jpg


Windows 7 はサポート対象外になっているとは言え、ESU対象の製品は当然更新プログラムが提供されると思われますが、それ以外のものについては、提供される可能性は低いと思ったほうがいいのかもしれません。ただし、この辺りは現時点では特にはっきりしたことはWebページ上にもありません。

FAQにもありますが、Microsoftでは、この脆弱性をついた攻撃がすでに確認されているとのことのようです。


【影響範囲】

-- Internet Explorer:

・Internet Explorer 11

-- OS:

Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows 10

注意書きにもありますが、Windows Server 製品(2008/2008R2/2012/2012R2/2016/2019)は、Internet Explorer 9/10/11 だったととしても、"Critical" ではなく "Moderate" となっております。これは、IEがあらかじめ制限モードで開かれるからのようです。


【暫定的な対処法】

回避策としては、IPAのサイトでは2つ紹介されています。

1) Internet Explorer を使用しない:

もちろんこの場合、メールなどのリンクをクリックしてIEが起動してこないように、既定のブラウザも IE以外のものに設定しておく必要があります。

対応策が提示されるまで使わないのが一番簡単な回避策になります。


2) コマンドにより Jscript.dll へのアクセスを制限する:

暫定的な対処法が公開されております。コマンドプロンプトを管理者モードで開いて、以下のコマンドを実行します。
ただしこれを実行した場合、今後修正プログラムの提供が開始された場合には、それを実行する前に、再度設定を元に戻す必要があるようです。Microsoft の Webサイト上では、現時点では、"Microsoft recommends these mitigation steps only if there is indication that you are under elevated risk." 、こうしたリスクの兆候がある場合には、以下の暫定的な対策をしてくださいとあります。

20200122-1-3.jpg

32ビット版の場合:

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

64ビット版の場合:

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

上記のコマンドを一行ずつコピーして、コマンドプロンプトの画面内で右クリックすれば貼りつきますので、貼りついたらエンターキーを押して実行します。

今回のものは、Jscript.dll へのアクセスに対して制限をかけるものになります。これにより、この機能に依存するコンポーネントなどに依存しているようなものがある場合、機能の低下につながることがあるようです。

また、"By default, IE11, IE10, and IE9 uses Jscript9.dll which is not impacted by this vulnerability. This vulnerability only affects certain websites that utilize jscript as the scripting engine." とあるようにデフォルトでは IE11などは、Jscript9.dl を使用しているので影響はないものの、スクリプトエンジンとして jscript を使用する特定のWebサイトにのみで影響します。

つまりそうしたサイトを立ち上げて誘導され、アクセスしてし攻撃された場合には、対処しておかないと、今回の脆弱性により影響を受けることになります。

-- 元に戻す方法:

同様にコマンドプロンプトを開いて、以下のコマンドを実行します。

20200122-1-4.jpg

32ビット版の場合:

cacls %windir%\system32\jscript.dll /E /R everyone

64ビット版の場合:

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone


IPA のサイトにもありますが、一般のユーザーの皆さんにおいては、基本的には Internet Explorer の使用を避けるのが一番簡単な対処法だとは思います。

ということですので、Internet Explorer のご利用にあたってはくれぐれもご注意ください。


<参照>



デル株式会社
posted by クリック at 12:57| 東京 ☁| Comment(0) | Internet Explorer | このブログの読者になる | 更新情報をチェックする

New Microsoft Edge の配信がスタート! Part 4

新しくなった New Microsoft Edge。New Microsoft Edge が、"Microsoft Edge” と呼ばれるようになり、従来からあった旧Microsoft Edge は、現在、レガシー版と呼ばれるようになりました。"Microsoft Edge レガシー" です。

もちろんまだ自動配信されているわけではなく、あくまでも自分でダウンロードしてインストールしない限りはこの Microsoft Edge Legacy なわけですので、こちらをご利用の方も多いかと思います。

"New Microsoft Edge の配信がスタート! Part 2" でも触れましたが、日本の場合、自動で配信されるのは、日本語版のブログの中でも触れられておりますが、"確定申告の影響を考慮し、Windows Updateを通じた新しいMicrosoft Edgeの配信は令和2年4月1日以降、順次開始される予定"("新たな年に新たなブラウザーを – 新しい Microsoft Edge はプレビューを終え、ダウンロード提供を開始" より引用) となっています。

さてそんな Microsoft Edge ですが、最後に今回提供されている Microsoft Edge の削除について触れておきます。

すでにご存じのように、Microsoft Edge Legacy は、基本的には簡単に削除ができるものではありませんでした。これに対して、今回提供されている、Microsoft Edge は、普通にアンインストールも可能です。

スタート>設定>アプリ>アプリと機能 と開いて Micorosoft Edge をクリックし "アンインストール" をクリックすればアンインストールができます。

20200121-6-1-1.jpg 20200121-6-2-1.jpg

削除されると従来の Microsoft Edge、つまり Microsoft Edge Leagcy に戻ります。

4月以降自動で更新された場合にどうなるのか?この辺りは検証できませんが、聞くところによれば、タッチペンでの書き込みができるのが便利というユーザーの方もいらっしゃるようで、あえて Microsoft Edge Legacy の方を選択される方もいらっしゃるようです。

ユーザーのニーズもいろいろですね。


【2020/01/23 更新】

New Microsoft Edge のアンインストールについて情報が公開されたようでしたので、ご紹介します。


上記サイトにもありますが、あくまでも現時点では、"新しい Microsoft Edge のアンインストールは、Windows Update を通じて Microsoft Edge が提供されるまでの期間に限り可能です" とのことのようです。

つまり自動配信がスタートすると、それ以降は Microsoft Edge Legacy には戻せなくなることのようですね。



<参照>



デル株式会社

posted by クリック at 10:04| 東京 ☀| Comment(0) | Microsoft Edge | このブログの読者になる | 更新情報をチェックする