本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脆弱性

Microsoft EdgeおよびMicrosoft Internet Explorerの複数の脆弱性

Kaspersky ID:
KLA11084
検出日:
08/08/2017
更新日:
07/05/2018

説明

Microsoft Internet ExplorerおよびMicrosoft Edgeでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して特権を取得し、セキュリティ制限を回避し、任意のコードを実行し、機密情報を取得することができます。

以下に、脆弱性の完全な一覧を示します。

  1. Microsoft Edgeの誤ったサンドボックス処理は、ローカルで悪用されて特権を得ることができます。
  2. UMCI(ユーザーモードコード整合性)ポリシーの不適切な検証は、ユーザーが特別に設計されたWebサイトを訪問し、セキュリティ制限を回避するための悪意のあるアプリケーションを実行させることによって、ローカルで悪用される可能性があります。
  3. JavaScriptエンジンのメモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための "初期化に安全"
  4. Microsoft Edge JIT(Just-In-Time)コンパイラによってコンパイルされたコード内のメモリへのアクセスの不適切な処理に関連するACG(Arbitrary Code Guard)バイパスの脆弱性は、特別に設計されたWebサイトを介してセキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
  5. Microsoft EdgeのJavaScriptパラメータの不適切な検証とサニタイズは、権限を得るために悪意のあるWebサイトでホストされている特別に設計されたリンクをユーザーがクリックするように促すことで、リモートから悪用される可能性があります。
  6. Microsoft Edgeの特定の機能のメモリ内のオブジェクトの誤った取り扱いに関連する複数の脆弱性は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることでリモートから悪用することができます。
  7. Microsoft Edgeでのクロスドメインポリシーの不適切な実施は、特別に設計されたページを読み込ませる、または悪意のあるWebサイトにアクセスしてセキュリティ制限を回避するようユーザーに納得させることによって、リモートから悪用される可能性があります。
  8. Microsoft Internet Explorerのメモリ内のオブジェクトの不正な処理は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことによって、リモートから悪用される可能性があります。
  9. メモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを閲覧するように促すことによって、リモートから悪用される可能性があります。
  10. Chakraスクリプトエンジンの特定の機能のメモリ内のオブジェクトの不正な処理は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることによってリモートから利用できます。
  11. Microsoft EdgeのMicrosoftスクリプトエンジンのメモリ内のオブジェクトの誤った取り扱いは、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための「初期化に安全」とマークされた;
  12. 影響を受けるシナリオでの不適切な文字列の検証は、特別に設計されたWebサイトを介してリモートから悪用され、機密情報を取得することができます。
  13. Microsoft Edgeのメモリ内のオブジェクトの不適切な処理に関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことで、リモートから悪用される可能性があります。
  14. チャクラのJavaScriptスクリプトエンジンのメモリ内のオブジェクトの不適切な処理は、リモートから任意のコードを実行するために悪用される可能性があります。

技術的な詳細

脆弱性(9)と(13)を悪用するために、攻撃者は電子メールまたはインスタントメッセージで悪意のあるWebサイトにURLを送信できます。

脆弱性(12)の悪用により、攻撃者は機密データをメモリから取得し、ASLR(Address Space Layout Randomization)をバイパスする可能性があります。

オリジナルアドバイザリー

CVEリスト

KBリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Related articles
14 November 2024
Securelist
Сrimeware and financial cyberthreats in 2025
14 November 2024
Kaspersky Daily
実務に携わるサイバーセキュリティのエキスパートが設計したトレーニングコース「xTraining」 | カスペルスキー公式ブログ
13 November 2024
Securelist
Threats in space (or rather, on Earth): internet-exposed GNSS receivers
11 November 2024
Securelist
Ymir: new stealthy ransomware in the wild
08 November 2024
Securelist
QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns
06 November 2024
Securelist
New SteelFox Trojan mimics software activators, stealing sensitive data and mining cryptocurrency
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
Kaspersky ID
脆弱性
Detect date
危険度
Confirm changes?
Your message has been sent successfully.