人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

IE全バージョンに再びゼロデイ脆弱性が発見されました。
「Microsoft Security Advisory 2963983」で紹介されています。

皆さんは、どんな対策を取られましたでしょうか。私の所では、使っている機能がセキュリティ確保のために使えなくなって、おろおろしてます(笑)

さて、質問です。
今回の脆弱性への対処方法と、それによってなにが不便になるのかを、お伺いいたします。

ググれば分かる有名なものも含めて、たくさんの回答をお待ちしております!

●質問者: sasada
●カテゴリ:コンピュータ インターネット
○ 状態 :終了
└ 回答数 : 6/6件

▽最新の回答へ

1 ● a-kuma3
●500ポイント

ここが、よくまとまっているように思います。
http://d.hatena.ne.jp/Kango/touch/20140427/1398602077

普段使いは Firefox なので、あまり気にしていませんが、仕事場の環境で IE のみ対応のシステムがあるので、とりあえず vgx.dll の登録を解除しました。

VML を使っているコンテンツを見た記憶がない(気がついてないだけかもしれませんが)ので、影響はほとんどないと思っています。


他の対策でいうと、この対策のためだけによく分からないもの(EMET)をインストールするのは、気が進みません。
何かをインストールするなら、別のブラウザに乗り替える方が、まだ心理的な抵抗感が少ないです(あくまでも個人の感覚です)。
ActiveX や Flash を無効にするのは影響が多き過ぎます。
拡張保護モードは、利用できる環境を選びます。

セキュリティレベルの変更は、結局、ActiveX を使えなくするのと同等で、影響範囲が広すぎるなあ、という感じです。
ぼくが使っている環境だと、イントラネットゾーンに ActiveX を使っているシステムがいくつかあるので、ちょっと採用できませんでした。


sasadaさんのコメント
わかりやすいご回答をありがとうございます。 ご紹介いただいたURL、本当によくまとまっていますね! ご紹介いただいたURLより >> QualysのBlogでは言及がないのですが、脆弱性修正後に無効化したコンポーネントを再度有効にする必要があるため次のコマンドを入力します。尚管理者権限で実行する必要があります。 "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" << とのこと。脆弱性対応後、VMLの設定を元に戻せるのは朗報ですね。 http://www.tohoho-web.com/wwwvml.htm >> ※ VMLはIE10で廃止されました。今後は <canvas> を使用することが推奨されます。( << どうせVMLはIE10で廃止になっているんですね。 あまり使わないはずです。 http://www.tohoho-web.com/html/canvas.htm >> Google が公開した JavaScriptライブラリ 「Explorer Canvas」を用いることで、IE6/IE7/IE8 でも canvas を VML でシミュレートできます。 << ここだけが要対応な気がしますが、脆弱性修正後にすぐに復帰させればOKですね! ちょっと調べてみて、VMLを当面使ってないようなら、vgx.dll の登録解除が現実的な解になりそうです。 ありがとうございました! 他のご意見もあるかと思いますので、引き続き回答をお待ちしております!!

2 ● kicr-pp
●300ポイント

対策といえるかどうかは、わかりませんが、IEではなくGoogle Chromeを使っています。不便なところは、基本的に、IEを使っているため、お気に入りサイトなどを、IEに登録しています。なので、Google Chromeだとお気に入りサイトをすぐに表示できないところが不便です。


sasadaさんのコメント
ご回答ありがとうございます。 Google Chromeは早くて良いブラウザーですね。 グーグルのプロダクト群(Google appsとか)との相性も良さそうです。 スパッと乗り換えられる環境は、これを機会にGoogle Chrome(かFireFox)に乗り換えることも検討してみます。 ただ、職場のPC群は、Webアプリ型の業務ソフトもあって、簡単に乗り換えられないのです(涙) 仕事となると思うに任せませんね。 ともあれ、有用な情報をありがとうございました!!

3 ● エネゴリ
●600ポイント

私はいろいろと細かい設定を弄るのが面倒なのでインターネットおよびローカル イントラネット セキュリティ ゾーンの設定を『高』に設定してActiveX コントロールおよびアクティブ スクリプトをブロックしてます。
不便なことはActiveX コントロールがあるサイトだと機能しない事もある所です。
上記回答以外でしたら、Enhanced Mitigation Experience Toolkit(EMET)を使用するという手もあります。
Enhanced Mitigation Experience Toolkit(EMET)
http://support.microsoft.com/kb/2458544/ja
参照リンク
http://scan.netsecurity.ne.jp/article/2014/04/30/34080.html


sasadaさんのコメント
お返事が遅くなりました。 ローカル イントラネット セキュリティ ゾーンを「高」に設定するのは堅実で良い方法ですね。 他人様に薦めるなら、私も、いの一番に採用することにします。 ただ、私の環境だと、Activ-Xを使う必要があって、単純には設定できないのですが(号泣) EMET、拝見しました。けっこう強力なツールのようですね。頼りになりそうです。 今回のことを機会にEMETの導入も真面目に考えようかなと思いました。 ただ、テストには時間が掛かりそうです。。。 ご回答ありがとうございました!

4 ● 井戸端さん
●500ポイント

身の回りは簡単よ。IE禁止令ただそれだけだもの。
影響は別にでてないわ。だってほとんどの人がchromeやfirefoxを使ってるんだもの。スマホやタブレット使っている人も多いわよ。
クライアント企業様も同様ね。問題は使うなっていわれても使う人がいるかもしれないってことかしら。でもそこまでは知ったことではないわ。
Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構

VGX.dll無効化はパソコンにちょっと詳しい人でないと難しいからどうしてもIE使いたい人には拡張保護モードを勧めてるわ。ユーザーレベルで設定してもらうことができるから管理者は楽よ。古いパソコンはあきらめてねって言いやすいのも利点かしら。
Microsoft Security Advisory 2963983

x64 ベースのシステムでは、Internet Explorer 10 の場合は拡張保護モードを有効にする。Internet Explorer 11 の場合は、拡張保護モードを有効にし、拡張保護モードで 64 ビット プロセッサを有効にする

Internet Explorer 10 および Internet Explorer 11 のユーザーは、Internet Explorer のセキュリティの詳細設定を変更することにより、この脆弱性が悪用されないように保護できます。これを行うには、ブラウザーで拡張保護モード (EPM) の設定を有効にします。このセキュリティ設定は、Windows 7 for x64-based systems、Windows 8 for x64-based systems、および Windows RT 上で Internet Explorer 10 を使用しているユーザーと、Windows 7 for x64-based systems、Windows 8.1 for x64-based systems、および Windows RT 8.1 上で Internet Explorer 11 を使用しているユーザーを保護するのに役立ちます。

Internet Explorer で EPM を有効にするには、次のステップを実行します。

Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
[インターネット オプション] ダイアログ ボックスで、[詳細設定] タブをクリックし、設定の一覧の [セキュリティ] セクションまで下へスクロールします。
Internet Explorer 10 を実行している場合は、[拡張保護モードを有効にする] の横のチェック ボックスがオンになっていることを確認します。
Internet Explorer 11 を実行している場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスがオンになっていることを確認します。
[OK] をクリックし、変更を許可し、Internet Explorer に戻ります。
システムを再起動します。


何よりも一番大切なことは慌てないことね。ネットの情報には誤りも多いわよ。特に人力検索でポイントを漁っている人のいいかげんさはひどいものよ。気を付けてね。


sasadaさんのコメント
ご回答ありがとうございます。 拡張保護モードはこうなっているんですね。勉強になりました。 ウチの環境では、Active-Xを使う必要性があってIEから離れられないのがつらいところです。 趣味で使う分はグーグルクロールでもFireFoxでも構わないのですが。 ウチの職場ではWin7の32bit版+IE8の組み合わせが何千のオーダーで導入されています。こいつらの対応を考えると頭が痛いです。。。 でも、Win7 64bit版+IE10・11の環境もあって、こちらでは拡張保護モードも使えますね。インターネットオプションからGUIで設定できるのはポイント高いです。システム屋が駆けつけるまでもなく対応してもらえるのは、有り難いです。 価値ある回答をありがとうございました!

井戸端さんさんのコメント
パッチがでたわ。 http://support.microsoft.com/kb/2964358 自動アップデートは意外と遅いからIE使いたい人は手動アップデートさせたほうがいいかもしれないわね。

5 ● snow0214
●600ポイント ベストアンサー

Enhanced Mitigation Experience Toolkit 4.1(EMET) を使用する

他のゼロデイ攻撃にも一定の効果がある(完璧ではない)ので、第一選択肢となります。
5.0が評価中ですが、下から安定版4.1をダウンロードすればいいでしょう。
http://www.microsoft.com/en-us/download/details.aspx?id=41138

デスクトップアプリが使えない場合は下の記事が参考になります。
http://surface.viva-m-tablet.info/entry/2014/04/29/181242

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

また、市販セキュリティソフトはゼロデイ攻撃を未然に防ぐ仕組みを備えているので、EMETとセットで使うことでリスク低減になるでしょう。

シマンテックインサイト:レピュテーションに基づく次世代保護技術

http://www.symantec.com/ja/jp/theme.jsp?themeid=insight


sasadaさんのコメント
EMET、頼りになりそうですね。 ちょっとテストをしてからでないと導入できないのですが、使えるようなら(今後のためにも)使いたい気がしてきました。 お薦めいただいた4.1について、前向きに考えたいと思います。 市販セキュリティソフトはマカフィーのものを利用してます。シマンティックの解析技術とはまた別のアルゴリズムのようですが、頼りになるかもしれませんね。調べてみます。 ご回答ありがとうございました!!

1-5件表示/7件
4.前の5件|次5件6.
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ