Microsoft、既に攻撃が確認されているIEの脆弱性に対する更新プログラムをリリース
タレコミ by headless
headless 曰く、
Microsoftは23日、Internet Explorerの脆弱性(CVE-2019-1367)を発表するとともに、セキュリティ更新プログラムをリリースした(セキュリティ更新プログラムガイド、 Neowinの記事、 Windows Centralの記事、 The Registerの記事)。
CVE-2019-1367はスクリプトエンジンのメモリ破損の脆弱性で、悪用すると現在のユーザーのコンテキストでリモートからの任意コード実行が可能になるというもの。既に攻撃が確認されており、深刻度の評価はクライアント系で「緊急」、サーバー系で「警告」となっているが、現在のところ更新プログラムはWindows Updateで提供されず、Microsoft Updateカタログからダウンロードして適用する必要がある。また、回避策として「jscript.dll」のアクセス許可を変更する方法が紹介されている。
Windowsバージョン別のKB記事およびダウンロードリンクは以下の通り。
- KB4522007 (Microsoft Update カタログ): Windows 7 SP1/8.1/ServerR2 SP1/2012(IE10/IE11)/2012 R2/2008 SP2(IE9)
- KB4522009 (Microsoft Update カタログ): Windows 10(RTM、ビルド10240)
- KB4522010 (Microsoft Update カタログ): Windowsバージョン1607/Server 2016
- KB4522011 (Microsoft Update カタログ): Windowsバージョン1703
- KB4522012 (Microsoft Update カタログ): Windowsバージョン1709
- KB4522014 (Microsoft Update カタログ): Windowsバージョン1803
- KB4522015 (Microsoft Update カタログ): Windowsバージョン1809/Server 2019
- KB4522016 (Microsoft Update カタログ): Windowsバージョン1903
Microsoft、既に攻撃が確認されているIEの脆弱性に対する更新プログラムをリリース More ログイン