KLA11084
Microsoft EdgeおよびMicrosoft Internet Explorerの複数の脆弱性

Microsoft Internet ExplorerおよびMicrosoft Edgeでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して特権を取得し、セキュリティ制限を回避し、任意のコードを実行し、機密情報を取得することができます。

以下に、脆弱性の完全な一覧を示します。

1. Microsoft Edgeの誤ったサンドボックス処理は、ローカルで悪用されて特権を得ることができます。
2. UMCI（ユーザーモードコード整合性）ポリシーの不適切な検証は、ユーザーが特別に設計されたWebサイトを訪問し、セキュリティ制限を回避するための悪意のあるアプリケーションを実行させることによって、ローカルで悪用される可能性があります。
3. JavaScriptエンジンのメモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための "初期化に安全"
4. Microsoft Edge JIT（Just-In-Time）コンパイラによってコンパイルされたコード内のメモリへのアクセスの不適切な処理に関連するACG（Arbitrary Code Guard）バイパスの脆弱性は、特別に設計されたWebサイトを介してセキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
5. Microsoft EdgeのJavaScriptパラメータの不適切な検証とサニタイズは、権限を得るために悪意のあるWebサイトでホストされている特別に設計されたリンクをユーザーがクリックするように促すことで、リモートから悪用される可能性があります。
6. Microsoft Edgeの特定の機能のメモリ内のオブジェクトの誤った取り扱いに関連する複数の脆弱性は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることでリモートから悪用することができます。
7. Microsoft Edgeでのクロスドメインポリシーの不適切な実施は、特別に設計されたページを読み込ませる、または悪意のあるWebサイトにアクセスしてセキュリティ制限を回避するようユーザーに納得させることによって、リモートから悪用される可能性があります。
8. Microsoft Internet Explorerのメモリ内のオブジェクトの不正な処理は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことによって、リモートから悪用される可能性があります。
9. メモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを閲覧するように促すことによって、リモートから悪用される可能性があります。
10. Chakraスクリプトエンジンの特定の機能のメモリ内のオブジェクトの不正な処理は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることによってリモートから利用できます。
11. Microsoft EdgeのMicrosoftスクリプトエンジンのメモリ内のオブジェクトの誤った取り扱いは、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための「初期化に安全」とマークされた;
12. 影響を受けるシナリオでの不適切な文字列の検証は、特別に設計されたWebサイトを介してリモートから悪用され、機密情報を取得することができます。
13. Microsoft Edgeのメモリ内のオブジェクトの不適切な処理に関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことで、リモートから悪用される可能性があります。
14. チャクラのJavaScriptスクリプトエンジンのメモリ内のオブジェクトの不適切な処理は、リモートから任意のコードを実行するために悪用される可能性があります。

技術的な詳細

脆弱性（9）と（13）を悪用するために、攻撃者は電子メールまたはインスタントメッセージで悪意のあるWebサイトにURLを送信できます。

脆弱性（12）の悪用により、攻撃者は機密データをメモリから取得し、ASLR（Address Space Layout Randomization）をバイパスする可能性があります。

マイクロソフトエッジ
Microsoft Internet Explorerバージョン9〜11

Windows UpdateにリストされているKBセクションから必要な更新プログラムをインストールします（Windows Updateは通常、コントロールパネルからアクセスできます）

CVE-2017-8503
CVE-2017-8625
CVE-2017-8634
CVE-2017-8635
CVE-2017-8636
CVE-2017-8637
CVE-2017-8638
CVE-2017-8639
CVE-2017-8640
CVE-2017-8641
CVE-2017-8642
CVE-2017-8644
CVE-2017-8645
CVE-2017-8646
CVE-2017-8647
CVE-2017-8650
CVE-2017-8651
CVE-2017-8652
CVE-2017-8653
CVE-2017-8655
CVE-2017-8656
CVE-2017-8657
CVE-2017-8659
CVE-2017-8661
CVE-2017-8662
CVE-2017-8669
CVE-2017-8670
CVE-2017-8671
CVE-2017-8672
CVE-2017-8674

CVE-2017-8674
CVE-2017-8672
CVE-2017-8671
CVE-2017-8670
CVE-2017-8669
CVE-2017-8662
CVE-2017-8661
CVE-2017-8659
CVE-2017-8657
CVE-2017-8656
CVE-2017-8655
CVE-2017-8653
CVE-2017-8652
CVE-2017-8651
CVE-2017-8650
CVE-2017-8647
CVE-2017-8646
CVE-2017-8645
CVE-2017-8644
CVE-2017-8642
CVE-2017-8641
CVE-2017-8640
CVE-2017-8639
CVE-2017-8638
CVE-2017-8637
CVE-2017-8636
CVE-2017-8635
CVE-2017-8634
CVE-2017-8625
CVE-2017-8503

4034681
4034674
4034733
4034665
4034664
4034660
4034658
4034668