「Microsoft Security Advisory 2963983」で紹介されています。
皆さんは、どんな対策を取られましたでしょうか。私の所では、使っている機能がセキュリティ確保のために使えなくなって、おろおろしてます(笑)
さて、質問です。
今回の脆弱性への対処方法と、それによってなにが不便になるのかを、お伺いいたします。
ググれば分かる有名なものも含めて、たくさんの回答をお待ちしております!
他のゼロデイ攻撃にも一定の効果がある(完璧ではない)ので、第一選択肢となります。
5.0が評価中ですが、下から安定版4.1をダウンロードすればいいでしょう。
http://www.microsoft.com/en-us/download/details.aspx?id=41138
デスクトップアプリが使えない場合は下の記事が参考になります。
http://surface.viva-m-tablet.info/entry/2014/04/29/181242
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx
また、市販セキュリティソフトはゼロデイ攻撃を未然に防ぐ仕組みを備えているので、EMETとセットで使うことでリスク低減になるでしょう。
ここが、よくまとまっているように思います。
http://d.hatena.ne.jp/Kango/touch/20140427/1398602077
普段使いは Firefox なので、あまり気にしていませんが、仕事場の環境で IE のみ対応のシステムがあるので、とりあえず vgx.dll の登録を解除しました。
VML を使っているコンテンツを見た記憶がない(気がついてないだけかもしれませんが)ので、影響はほとんどないと思っています。
他の対策でいうと、この対策のためだけによく分からないもの(EMET)をインストールするのは、気が進みません。
何かをインストールするなら、別のブラウザに乗り替える方が、まだ心理的な抵抗感が少ないです(あくまでも個人の感覚です)。
ActiveX や Flash を無効にするのは影響が多き過ぎます。
拡張保護モードは、利用できる環境を選びます。
セキュリティレベルの変更は、結局、ActiveX を使えなくするのと同等で、影響範囲が広すぎるなあ、という感じです。
ぼくが使っている環境だと、イントラネットゾーンに ActiveX を使っているシステムがいくつかあるので、ちょっと採用できませんでした。
わかりやすいご回答をありがとうございます。
ご紹介いただいたURL、本当によくまとまっていますね!
ご紹介いただいたURLより
QualysのBlogでは言及がないのですが、脆弱性修正後に無効化したコンポーネントを再度有効にする必要があるため次のコマンドを入力します。尚管理者権限で実行する必要があります。
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
とのこと。脆弱性対応後、VMLの設定を元に戻せるのは朗報ですね。
http://www.tohoho-web.com/wwwvml.htm
※ VMLはIE10で廃止されました。今後は <canvas> を使用することが推奨されます。(
どうせVMLはIE10で廃止になっているんですね。
あまり使わないはずです。
http://www.tohoho-web.com/html/canvas.htm
Google が公開した JavaScriptライブラリ 「Explorer Canvas」を用いることで、IE6/IE7/IE8 でも canvas を VML でシミュレートできます。
ここだけが要対応な気がしますが、脆弱性修正後にすぐに復帰させればOKですね!
ちょっと調べてみて、VMLを当面使ってないようなら、vgx.dll の登録解除が現実的な解になりそうです。
ありがとうございました!
他のご意見もあるかと思いますので、引き続き回答をお待ちしております!!
対策といえるかどうかは、わかりませんが、IEではなくGoogle Chromeを使っています。不便なところは、基本的に、IEを使っているため、お気に入りサイトなどを、IEに登録しています。なので、Google Chromeだとお気に入りサイトをすぐに表示できないところが不便です。
ご回答ありがとうございます。
Google Chromeは早くて良いブラウザーですね。
グーグルのプロダクト群(Google appsとか)との相性も良さそうです。
スパッと乗り換えられる環境は、これを機会にGoogle Chrome(かFireFox)に乗り換えることも検討してみます。
ただ、職場のPC群は、Webアプリ型の業務ソフトもあって、簡単に乗り換えられないのです(涙)
仕事となると思うに任せませんね。
ともあれ、有用な情報をありがとうございました!!
私はいろいろと細かい設定を弄るのが面倒なのでインターネットおよびローカル イントラネット セキュリティ ゾーンの設定を『高』に設定してActiveX コントロールおよびアクティブ スクリプトをブロックしてます。
不便なことはActiveX コントロールがあるサイトだと機能しない事もある所です。
上記回答以外でしたら、Enhanced Mitigation Experience Toolkit(EMET)を使用するという手もあります。
Enhanced Mitigation Experience Toolkit(EMET)
http://support.microsoft.com/kb/2458544/ja
参照リンク
http://scan.netsecurity.ne.jp/article/2014/04/30/34080.html
お返事が遅くなりました。
ローカル イントラネット セキュリティ ゾーンを「高」に設定するのは堅実で良い方法ですね。
他人様に薦めるなら、私も、いの一番に採用することにします。
ただ、私の環境だと、Activ-Xを使う必要があって、単純には設定できないのですが(号泣)
EMET、拝見しました。けっこう強力なツールのようですね。頼りになりそうです。
今回のことを機会にEMETの導入も真面目に考えようかなと思いました。
ただ、テストには時間が掛かりそうです。。。
ご回答ありがとうございました!
身の回りは簡単よ。IE禁止令ただそれだけだもの。
影響は別にでてないわ。だってほとんどの人がchromeやfirefoxを使ってるんだもの。スマホやタブレット使っている人も多いわよ。
クライアント企業様も同様ね。問題は使うなっていわれても使う人がいるかもしれないってことかしら。でもそこまでは知ったことではないわ。
Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構
VGX.dll無効化はパソコンにちょっと詳しい人でないと難しいからどうしてもIE使いたい人には拡張保護モードを勧めてるわ。ユーザーレベルで設定してもらうことができるから管理者は楽よ。古いパソコンはあきらめてねって言いやすいのも利点かしら。
Microsoft Security Advisory 2963983
x64 ベースのシステムでは、Internet Explorer 10 の場合は拡張保護モードを有効にする。Internet Explorer 11 の場合は、拡張保護モードを有効にし、拡張保護モードで 64 ビット プロセッサを有効にする
Internet Explorer 10 および Internet Explorer 11 のユーザーは、Internet Explorer のセキュリティの詳細設定を変更することにより、この脆弱性が悪用されないように保護できます。これを行うには、ブラウザーで拡張保護モード (EPM) の設定を有効にします。このセキュリティ設定は、Windows 7 for x64-based systems、Windows 8 for x64-based systems、および Windows RT 上で Internet Explorer 10 を使用しているユーザーと、Windows 7 for x64-based systems、Windows 8.1 for x64-based systems、および Windows RT 8.1 上で Internet Explorer 11 を使用しているユーザーを保護するのに役立ちます。
Internet Explorer で EPM を有効にするには、次のステップを実行します。
Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
[インターネット オプション] ダイアログ ボックスで、[詳細設定] タブをクリックし、設定の一覧の [セキュリティ] セクションまで下へスクロールします。
Internet Explorer 10 を実行している場合は、[拡張保護モードを有効にする] の横のチェック ボックスがオンになっていることを確認します。
Internet Explorer 11 を実行している場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスがオンになっていることを確認します。
[OK] をクリックし、変更を許可し、Internet Explorer に戻ります。
システムを再起動します。
何よりも一番大切なことは慌てないことね。ネットの情報には誤りも多いわよ。特に人力検索でポイントを漁っている人のいいかげんさはひどいものよ。気を付けてね。
ご回答ありがとうございます。
拡張保護モードはこうなっているんですね。勉強になりました。
ウチの環境では、Active-Xを使う必要性があってIEから離れられないのがつらいところです。
趣味で使う分はグーグルクロールでもFireFoxでも構わないのですが。
ウチの職場ではWin7の32bit版+IE8の組み合わせが何千のオーダーで導入されています。こいつらの対応を考えると頭が痛いです。。。
でも、Win7 64bit版+IE10・11の環境もあって、こちらでは拡張保護モードも使えますね。インターネットオプションからGUIで設定できるのはポイント高いです。システム屋が駆けつけるまでもなく対応してもらえるのは、有り難いです。
価値ある回答をありがとうございました!
パッチがでたわ。
http://support.microsoft.com/kb/2964358
自動アップデートは意外と遅いからIE使いたい人は手動アップデートさせたほうがいいかもしれないわね。
他のゼロデイ攻撃にも一定の効果がある(完璧ではない)ので、第一選択肢となります。
5.0が評価中ですが、下から安定版4.1をダウンロードすればいいでしょう。
http://www.microsoft.com/en-us/download/details.aspx?id=41138
デスクトップアプリが使えない場合は下の記事が参考になります。
http://surface.viva-m-tablet.info/entry/2014/04/29/181242
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx
また、市販セキュリティソフトはゼロデイ攻撃を未然に防ぐ仕組みを備えているので、EMETとセットで使うことでリスク低減になるでしょう。
EMET、頼りになりそうですね。
ちょっとテストをしてからでないと導入できないのですが、使えるようなら(今後のためにも)使いたい気がしてきました。
お薦めいただいた4.1について、前向きに考えたいと思います。
市販セキュリティソフトはマカフィーのものを利用してます。シマンティックの解析技術とはまた別のアルゴリズムのようですが、頼りになるかもしれませんね。調べてみます。
ご回答ありがとうございました!!
Norton Security 等のクライアントセキュリティソフトでは、ネットワーク脅威防止機能にて当該脆弱性を突く攻撃を防ぐことができます。
大企業等で IPS を導入している場合は、IPS で一括して防ぐこともできます。
なので、そのような代替保護手段がある場合は、無闇に IE をやめたり EMET を導入したり VML を無効化する等の対応を取る必要はないですね。
寧ろリテラシーの低いユーザーに他のブラウザをインストールさせようとすると、Softonic のような悪質なサイトに誘導されてしまい Hao123 や Baidu IME、その他悪質なアドウェアを抱き合わせに入れてしまう結果になりかえって良くない。実際そういう被害に遭っている例がいくつもあるようです。
どうせ2~3日でパッチが提供されるわけだし…と言っているそばから提供開始されたようですね。
お返事が大変遅くなり、申し訳ありません。
ウィルス対策ソフトは頼りになるんですね。
こういう予防もしてくれるとは、有り難い限りです。
今後のことを考えて、EMETの導入を検討していますが、テストで苦戦を予測しています。
でも、職場には当然のようにIPSが入っているので、これで一安心できます。
ご回答ありがとうございました!
EMET、頼りになりそうですね。
2014/04/30 19:55:33ちょっとテストをしてからでないと導入できないのですが、使えるようなら(今後のためにも)使いたい気がしてきました。
お薦めいただいた4.1について、前向きに考えたいと思います。
市販セキュリティソフトはマカフィーのものを利用してます。シマンティックの解析技術とはまた別のアルゴリズムのようですが、頼りになるかもしれませんね。調べてみます。
ご回答ありがとうございました!!