本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11084
Microsoft EdgeおよびMicrosoft Internet Explorerの複数の脆弱性
更新日: 07/05/2018
検出日
?
08/08/2017
危険度
?
緊急
説明

Microsoft Internet ExplorerおよびMicrosoft Edgeでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して特権を取得し、セキュリティ制限を回避し、任意のコードを実行し、機密情報を取得することができます。

以下に、脆弱性の完全な一覧を示します。

  1. Microsoft Edgeの誤ったサンドボックス処理は、ローカルで悪用されて特権を得ることができます。
  2. UMCI(ユーザーモードコード整合性)ポリシーの不適切な検証は、ユーザーが特別に設計されたWebサイトを訪問し、セキュリティ制限を回避するための悪意のあるアプリケーションを実行させることによって、ローカルで悪用される可能性があります。
  3. JavaScriptエンジンのメモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための "初期化に安全"
  4. Microsoft Edge JIT(Just-In-Time)コンパイラによってコンパイルされたコード内のメモリへのアクセスの不適切な処理に関連するACG(Arbitrary Code Guard)バイパスの脆弱性は、特別に設計されたWebサイトを介してセキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
  5. Microsoft EdgeのJavaScriptパラメータの不適切な検証とサニタイズは、権限を得るために悪意のあるWebサイトでホストされている特別に設計されたリンクをユーザーがクリックするように促すことで、リモートから悪用される可能性があります。
  6. Microsoft Edgeの特定の機能のメモリ内のオブジェクトの誤った取り扱いに関連する複数の脆弱性は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることでリモートから悪用することができます。
  7. Microsoft Edgeでのクロスドメインポリシーの不適切な実施は、特別に設計されたページを読み込ませる、または悪意のあるWebサイトにアクセスしてセキュリティ制限を回避するようユーザーに納得させることによって、リモートから悪用される可能性があります。
  8. Microsoft Internet Explorerのメモリ内のオブジェクトの不正な処理は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことによって、リモートから悪用される可能性があります。
  9. メモリ内のオブジェクトの不適切な取り扱いに関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを閲覧するように促すことによって、リモートから悪用される可能性があります。
  10. Chakraスクリプトエンジンの特定の機能のメモリ内のオブジェクトの不正な処理は、機密情報を取得するために特別に設計されたWebサイトを表示するようユーザーに納得させることによってリモートから利用できます。
  11. Microsoft EdgeのMicrosoftスクリプトエンジンのメモリ内のオブジェクトの誤った取り扱いは、特別に設計されたWebサイト、ブラウザレンダリングエンジンをホストするMicrosoft Officeドキュメント、またはアプリケーションの任意のコードを実行するための「初期化に安全」とマークされた;
  12. 影響を受けるシナリオでの不適切な文字列の検証は、特別に設計されたWebサイトを介してリモートから悪用され、機密情報を取得することができます。
  13. Microsoft Edgeのメモリ内のオブジェクトの不適切な処理に関連する複数の脆弱性は、ユーザーが任意のコードを実行するために特別に設計されたWebサイトを表示するように促すことで、リモートから悪用される可能性があります。
  14. チャクラのJavaScriptスクリプトエンジンのメモリ内のオブジェクトの不適切な処理は、リモートから任意のコードを実行するために悪用される可能性があります。

技術的な詳細

脆弱性(9)と(13)を悪用するために、攻撃者は電子メールまたはインスタントメッセージで悪意のあるWebサイトにURLを送信できます。

脆弱性(12)の悪用により、攻撃者は機密データをメモリから取得し、ASLR(Address Space Layout Randomization)をバイパスする可能性があります。

影響を受ける製品

マイクロソフトエッジ
Microsoft Internet Explorerバージョン9〜11

解決法

Windows UpdateにリストされているKBセクションから必要な更新プログラムをインストールします(Windows Updateは通常、コントロールパネルからアクセスできます)

オリジナル勧告

CVE-2017-8503
CVE-2017-8625
CVE-2017-8634
CVE-2017-8635
CVE-2017-8636
CVE-2017-8637
CVE-2017-8638
CVE-2017-8639
CVE-2017-8640
CVE-2017-8641
CVE-2017-8642
CVE-2017-8644
CVE-2017-8645
CVE-2017-8646
CVE-2017-8647
CVE-2017-8650
CVE-2017-8651
CVE-2017-8652
CVE-2017-8653
CVE-2017-8655
CVE-2017-8656
CVE-2017-8657
CVE-2017-8659
CVE-2017-8661
CVE-2017-8662
CVE-2017-8669
CVE-2017-8670
CVE-2017-8671
CVE-2017-8672
CVE-2017-8674

影響
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]
関連製品
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-8674
CVE-2017-8672
CVE-2017-8671
CVE-2017-8670
CVE-2017-8669
CVE-2017-8662
CVE-2017-8661
CVE-2017-8659
CVE-2017-8657
CVE-2017-8656
CVE-2017-8655
CVE-2017-8653
CVE-2017-8652
CVE-2017-8651
CVE-2017-8650
CVE-2017-8647
CVE-2017-8646
CVE-2017-8645
CVE-2017-8644
CVE-2017-8642
CVE-2017-8641
CVE-2017-8640
CVE-2017-8639
CVE-2017-8638
CVE-2017-8637
CVE-2017-8636
CVE-2017-8635
CVE-2017-8634
CVE-2017-8625
CVE-2017-8503

Microsoftの公式アドバイザリ
CVE-2017-8503
CVE-2017-8625
CVE-2017-8634
CVE-2017-8635
CVE-2017-8636
CVE-2017-8637
CVE-2017-8638
CVE-2017-8639
CVE-2017-8640
CVE-2017-8641
CVE-2017-8642
CVE-2017-8644
CVE-2017-8645
CVE-2017-8646
CVE-2017-8647
CVE-2017-8650
CVE-2017-8651
CVE-2017-8652
CVE-2017-8653
CVE-2017-8655
CVE-2017-8656
CVE-2017-8657
CVE-2017-8659
CVE-2017-8661
CVE-2017-8662
CVE-2017-8669
CVE-2017-8670
CVE-2017-8671
CVE-2017-8672
CVE-2017-8674
KBリスト

4034681
4034674
4034733
4034665
4034664
4034660
4034658
4034668


オリジナルへのリンク