Protection strategies for the Security Advisory 2963983 IE 0day
http://blogs.technet.com/b/srd/archive/2014/04/30/protection-strategies-for-the-security-advisory-2963983-ie-0day.aspx
マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される については一つ前の投稿でも解説していますが、ここで案内されている回避策についての詳細な検証結果が Security Research & Defense ブログで公開されています。
詳しい内容は原文を見ていただく方が良いでしょうが、簡単に要約すると以下のようになります。
- EMET は有効
EMET 4.0 および EMET 4.1 の利用は回避策として有効。また EMET 5.0 technical preview も有効
EMET 4.0 / 4.1 は既定値でも現在の攻撃を防御できるが、Deep Hooks を有効にするとより強力 (EMET 5.0 technical preview では既定で有効)
Deep Hooks を既定で有効にした EMET 4.1 の改訂版をリリースする - VGX.DLL の無効化の効果は限定的
VGX.DLL の無効化によって、現在の攻撃は防御できる
VGX.DLL のコード自体には脆弱性は無かったので、この無効化は今回の攻撃に限った回避策である - 拡張保護モードは有効
IE10 / IE11 共に拡張保護モードを有効にすることで攻撃は回避可能
ただし Windows 8 上の IE11 では [拡張保護モードで 64 ビット プロセッサを有効にする] も有効にする必要がある
まとめとして以下の回避策を推奨しています。
- EMET の利用
- VGX.DLL の無効化
- 拡張保護モードの利用
昨日の記事と併せて参考にしてください。
カテゴリー:Internet Explorer
