Internet Explorerにリモートコードを実行可能な深刻な脆弱性

日本マイクロソフト株式会社は19日、Webブラウザ「Internet Explorer 9/10/11」について、深刻な脆弱性が発見されたことを公開した。
https://pc.watch.impress.co.jp/docs/news/1159438.html

発見された脆弱性は、Internet Explorer内のJScriptスクリプトエンジンにおけるメモリ破損に関するもの。

脆弱性を悪用されると、攻撃者が現在のユーザーと同じユーザー権限を取得できる可能性があり、ユーザーが管理者権限でログオンしている場合、任意のプログラムのインストールやデータの表示、変更、削除、完全なユーザー権限を持つ新たなアカウントの作成といった操作を行なわれてしまう恐れがあるという。

【対策】
Microsoftから提供されている修正プログラム（Windows Update）を適用

Microsoftのセキュリティ更新プログラム ガイド
CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-8653

スクリプト エンジンが Internet Explorer でメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できるように、メモリを破損させる可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしているときに、攻撃者によりこれらの脆弱性が悪用された場合、影響を受けるコンピューターが制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

Web ベースの攻撃シナリオでは、攻撃者は Internet Explorer を介してこの脆弱性を悪用することを目的として特別に細工した Web サイトをホストし、メールを送信するなどして、その Web サイトを表示するようにユーザーを誘導する可能性があります。

このセキュリティ更新プログラムは、スクリプト エンジンがメモリ内のオブジェクトを処理する方法を変更することにより、これらの脆弱性を解決します。