本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
Kaspersky ID:
KLA11084
検出日:
08/08/2017
更新日:
07/05/2018

説明

Microsoft Internet ExplorerおよびMicrosoft Edgeでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して特権を取得し、セキュリティ制限を回避し、任意のコードを実行し、機密情報を取得することができます。

以下に、脆弱性の完全な一覧を示します。

  1. Microsoft Edgeの誤ったサンドボックス処理は、ローカルで悪用されて特権を得ることができます。
  2. UMCI(ユーザーモードコード整合性)ポリシーの不適切な検証は、ユーザーが特別に設計されたWebサイトを訪問し、セキュリティ制限を回避するための悪意のあるアプリケーションを実行させることによって、ローカルで悪用される可能性があります。
  3. JavaScriptエンジンのメモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための "初期化に安全"
  4. Microsoft Edge JIT(Just-In-Time)コンパイラによってコンパイルされたコード内のメモリへのアクセスの不適切な処理に関連するACG(Arbitrary Code Guard)バイパスの脆弱性は、特別に設計されたWebサイトを介してセキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
  5. Microsoft EdgeのJavaScriptパラメータの不適切な検証とサニタイズは、権限を得るために悪意のあるWebサイトでホストされている特別に設計されたリンクをユーザーがクリックするように促すことで、リモートから悪用される可能性があります。
  6. Microsoft Edgeの特定の機能のメモリ内のオブジェクトの誤った取り扱いに関連する複数の脆弱性は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることでリモートから悪用することができます。
  7. Microsoft Edgeでのクロスドメインポリシーの不適切な実施は、特別に設計されたページを読み込ませる、または悪意のあるWebサイトにアクセスしてセキュリティ制限を回避するようユーザーに納得させることによって、リモートから悪用される可能性があります。
  8. Microsoft Internet Explorerのメモリ内のオブジェクトの不正な処理は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことによって、リモートから悪用される可能性があります。
  9. メモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを閲覧するように促すことによって、リモートから悪用される可能性があります。
  10. Chakraスクリプトエンジンの特定の機能のメモリ内のオブジェクトの不正な処理は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることによってリモートから利用できます。
  11. Microsoft EdgeのMicrosoftスクリプトエンジンのメモリ内のオブジェクトの誤った取り扱いは、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための「初期化に安全」とマークされた;
  12. 影響を受けるシナリオでの不適切な文字列の検証は、特別に設計されたWebサイトを介してリモートから悪用され、機密情報を取得することができます。
  13. Microsoft Edgeのメモリ内のオブジェクトの不適切な処理に関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことで、リモートから悪用される可能性があります。
  14. チャクラのJavaScriptスクリプトエンジンのメモリ内のオブジェクトの不適切な処理は、リモートから任意のコードを実行するために悪用される可能性があります。

技術的な詳細

脆弱性(9)と(13)を悪用するために、攻撃者は電子メールまたはインスタントメッセージで悪意のあるWebサイトにURLを送信できます。

脆弱性(12)の悪用により、攻撃者は機密データをメモリから取得し、ASLR(Address Space Layout Randomization)をバイパスする可能性があります。

オリジナルアドバイザリー

CVEリスト

KBリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
カスペルスキープレミアム
デバイス、オンラインプライバシー、個人情報を完全に保護
プレミアム
Confirm changes?
Your message has been sent successfully.