- マイクロソフト セキュリティ アドバイザリ 2963983
https://technet.microsoft.com/ja-jp/library/security/2963983
- セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx - [回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx - [FAQ まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/05/01/faq-security-advisory-2963983.aspx - セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx
- マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起
http://www.jpcert.or.jp/at/2014/at140020.html - JVNVU#92280347: Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU92280347/index.html
- 米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140502_646872.html - ASCII.jp:マイクロソフト、Internet Explorerの脆弱性に対応!サポート切れXPも対象に
http://ascii.jp/elem/000/000/890/890214/ - ニュース - 「IEのゼロデイ脆弱性」を修正するパッチが緊急公開、Windows XPも対象:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20140502/554422/ - IE脆弱性に対応する更新プログラム、国内環境のWindows Updateでも配布開始 | マイナビニュース
http://news.mynavi.jp/news/2014/05/02/116/ - セキュリティのトビラ (12) IE脆弱性の"緩和策"と、ユーザへの正しい伝え方を考える | マイナビニュース
http://news.mynavi.jp/column/secdoor/012/
ここ数日話題のInternet Explorer の脆弱性、5月の定例で出すかなー、と思っていたらまさかの定例外。それだけ緊急性が高いということなので早めの適用が吉。まさかの連休前リリースなので、どうやって適用したものか、頭が痛いところもあるのでは。
今回は累積パッチではないので、事前に「MS14-018 Internet Explorer 用の累積的なセキュリティ更新プログラム (2950467)」 を入れておく必要があります。今回定例外と言うことで、既にサポート終了しているWindows XP にも出ていますので、適用必須。
今回の脆弱性のトリガーになっているVML(Vector Markup Language) はIE10 以降でサポートされなくなった(参考:VML がサポートされなくなった (Windows)) ようなので、今回の修正プログラムリリース前の緩和策としてvgx.dll を無効にしている環境の場合、そのまま修正プログラムをインストールしても問題ない(引き続きVML は無効化される) ので、特に不都合がなければそのまま無効にしておいた方がいいんじゃないかなーと言う気がします。あと同様に、IE の拡張保護モードを有効にしたままでいいかも。
緊急 (1件)
- マイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-021 - 対象 :
Internet Explorer 6 / 7 / 8 / 9 / 10 / 11 - Exploitability Index (悪用可能性指標) : 1 - 悪用コードの可能性
- 置き換えられる更新プログラム : なし