Kaspersky Threats

説明

Microsoft Edge、Microsoft Internet Explorer 9から11まで、複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用して任意のコードを実行し、特権を取得し、セキュリティ制限をバイパスし、

以下に、脆弱性の完全な一覧を示します。

Microsoft Internet Explorerでの混在コンテンツの不適切な処理は、悪意のあるWebサイトまたはセキュリティ上の制限を回避するために特別に設計された* .urlファイルを含む電子メールを介してリモートから悪用される可能性があります。
Microsoft Edgeのメモリ内のオブジェクトへの不正アクセスは、特別に設計されたWebサイトを介してリモートから悪用され、任意のコードを実行する可能性があります。
Microsoft Internet Explorerでメモリ内のオブジェクトへのアクセスを処理することに関連するJavaScriptエンジンの複数の脆弱性は、特別に設計されたWebサイトを介してリモートから悪用され、任意のコードを実行できます。
レンダリング中に行われたJavaScriptエンジンのオブジェクトの不正な処理に関連する複数の脆弱性は、特別に設計されたWebサイトやMicrosoftドキュメント、または「初期化に安全」とマークされた組み込みActiveXコントロールを介してリモートから悪用され、
Microsoft Internet Explorerでの混在コンテンツの不適切な処理は、特別に設計されたWebサイトを介してリモートから悪用され、任意のコードを実行できます。
Microsoft EdgeのMicrosoftスクリプトエンジンによって行われるメモリ内のオブジェクトの不正な処理に関する複数の脆弱性は、特別に設計されたWebサイトやMicrosoftドキュメント、または「初期化に安全」とマークされた埋め込みActiveXコントロールを介してリモートから悪用され、
不適切なHTML解析やSmartScreenフィルターの不正なレンダリング方法は、ユーザーインターフェイスを偽装するために特別に設計されたURLを使用してリモートから悪用することができます。
Microsoft Edgeの誤ったサンドボックス処理は、AppContainerサンドボックスからエスケープして特権を得るためにリモートから悪用される可能性があります。
Chakra JavaScript Engineの複数の脆弱性は、特別に設計されたWebサイトやMicrosoftドキュメント、または「初期化に安全」とマークされた組み込みActiveXコントロールを介してリモートから悪用され、
JavaScriptエンジンのメモリ内のオブジェクトの不適切な処理は、特別に設計されたWebサイトやMicrosoftドキュメント、または「初期化に安全」とマークされた組み込みActiveXコントロールを介してリモートから悪用される可能性があります。
Microsoft EdgeのURLにあるドメインレスページの不適切なレンダリングは、イントラネットゾーンのコンテキストで権限を取得してアクションを実行し、ブラウザの一部の機能にアクセスするために特別に設計されたWebページを訪問させることによって、リモートから悪用される可能性があります。インターネットゾーンのコンテキストでブラウジング中は利用できません。

技術的な詳細

脆弱性（1）は安全でないHTTSの場所に安全でないHTTPコンテンツをロードすることを可能にします。

Chakra JavaScript Engineの脆弱性（9）は、Microsoft Edgeでのレンダリングに関連しています。

上記のすべての脆弱性を、特別に設計されたWebページを介して悪用するには、悪意のあるユーザーが何らかの理由でユーザーを訪問させる必要があります。

オリジナルアドバイザリー

CVEリスト

KBリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか？お知らせください！