お知らせ‎ > ‎

(注意喚起)IE6~11の脆弱性(CVE-2014-1776)につきまして

2014/04/30 0:52 に POWER EGGクラウドサポート担当 が投稿
お客様各位
拝啓 貴社ますますご清栄のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。

 4月28日よりインターネットなど各種メディア並びにマイクロソフト社よりIE6
~IE11の未解決の脆弱性(CVE-2014-1776)が報告されております。マイクロソ
フト社よりこの脆弱性を解消する修正プログラムはまだ提供されておりませんが、
回避策が公開されております。
 マイクロソフト社が公開している回避策を設定することによりPOWER EGGの動
作に直接影響することはありませんが、一部留意事項がありますので下記のとお
りご連絡いたします。

以上、ご確認並びにご対応のほど、何卒よろしくお願い申し上げます。

 尚、詳細及びご質問等は、POWER EGG サポートまでお問い合わせください。

                                                                                                     敬具
                                   記

1.IE6~11の脆弱性(CVE-2014-1776)について

  Microsoft 社の Internet Explorer に悪意のある細工がされたコンテンツ
  を開くことで任意のコードが実行される脆弱性が存在します。
  この脆弱性が悪用された場合、アプリケーションプログラムが異常終了した
  り、攻撃者によってパソコンを制御される可能性があります。
  (※情報処理推進機構:IPAで公開されている情報の抜粋)

  詳細情報は以下のサイトをご参照ください。

  情報処理推進機構:IPA
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

2.本脆弱性の対応について

  マイクロソフト社よりこの脆弱性を解消する修正プログラムはまだ提供され
  ておりません。但し、以下6つの回避策が提示されております。

  a) Enhanced Mitigation Experience Toolkit(EMET) 4.1 を使用する

  b) インターネットおよびローカル イントラネット セキュリティ ゾーンの
     設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよび
     アクティブ スクリプトをブロックする

  c) インターネットおよびイントラネット ゾーンで、アクティブ スクリプ
     トの実行前にダイアログを表示するように Internet Explorer を構成す
     る、または、アクティブ スクリプトを無効にするよう構成する

  d) VGX.DLL の登録を解除する

  e) VGX.DLL に対するアクセス制御リスト (ACL) の制限を強化する

  f) [拡張保護モードを有効にする] (Internet Explorer 11 の場合) と [拡
     張保護モードで 64 ビット プロセッサを有効にする]

  詳細情報は以下のサイトをご参照ください。

  マイクロソフト社のセキュリティアドバイザリ(2963983)
https://technet.microsoft.com/ja-jp/library/security/2963983


3.回避策に対するPOWER EGG利用への影響について

  下記検証環境にて、実施した結果になります。

  Windows 7 + IE 8,9,11
  ※POWER EGGは信頼済みサイトに追加されており、POWER EGGのマニュアルに
   記載されている初期設定がされているものとします。

  a) EMET4.1をインストールし動作確認を行いましたが、動作に影響はありま
     せんでした。そのため、POWER EGGの動作に影響はないと判断しています。

  b) 一部の複数社員選択などにおいて、POWER EGGを信頼済みサイトに追加さ
     れているにも関わらず以下の警告メッセージが表示される場合があります。

     "インターネットから情報を送信するときに、その情報をほかのひとか
     ら読み取られる可能性があります。続行しますか?"

     POWER EGGから別のサイトへの接続はございませんので、「今後、この
     メッセージを表示しない」をチェックし、[はい]を選択して下さい。

     また、社員選択ダイアログ右上の×ボタンが無効になるという現象が確
     認されております。このような場合、社員選択ダイアログの[キャンセル]
     ボタンを押下して閉じてください。

  c) アクティブ スクリプトの実行前にダイアログを表示するように Internet
     Explorer を構成すると、一部の複数社員選択などにおいてPOWER EGG
     を信頼済みサイトに追加しているにも関わらず以下の警告メッセージ
     が繰り返し表示される場合があります。

     "スクリプトは通常、安全です。スクリプトを実行できるようにしますか?"

     ※ブラウザ起動ごと画面ごとで表示されます。

     また、アクティブ スクリプトを無効にするよう構成した場合には、上記
     のようなメッセージが表示されません。POWER EGGの動作に問題ありませ
     ん。

  d) 影響ありません。POWER EGGではVGX.DLLを利用しておりません。

  e) 影響ありません。POWER EGGではVGX.DLLを利用しておりません。

  f) [拡張保護モードを有効にする] に設定変更し動作確認を行いましたが、
     動作に影響はありませんでした。そのため、POWER EGGの動作に影響はな
     いと判断しています。

  マイクロソフト社から発表されている回避策では、信頼するWebサイトを信
  頼済みサイトに追加するように推奨しております。POWER EGGを利用するク
  ライアントの初期設定で信頼済みサイトにPOWER EGGにアクセスするURLを追
  加していただくようマニュアルに記載しております。
  もし、信頼済みサイトに追加されていない場合は、ユーザーマニュアル基本
  編のクライアントの初期設定を参照し、設定を行ってください。

  ※以下のサイトにもクライアントの初期設定を掲載しております。

http://www.poweregg.net/situmon_settei.htm

                                                                                                             以 上

Comments