I.概要

2020年1月17日 (米国時間)、マイクロソフトから Microsoft Internet Explorerの脆弱性 (CVE-2020-0674) に関する情報が公開されました。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。
マイクロソフトによると、本脆弱性の悪用を確認しているとのことです。

ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

II.対象

対象となる製品とバージョンは次のとおりです。

– Microsoft Internet Explorer 10
– Microsoft Internet Explorer 11

III.対策

2020年1月19日 (日本時間) 時点で、本脆弱性への対策は提供されていません。
「IV. 回避策」の適用をするか、別の Web ブラウザの使用を検討してください。

IV. 回避策

マイクロソフトより、本脆弱性の回避策が公開されています。マイクロソフトによると本脆弱性は、JScript のスクリプトエンジンにおけるメモリ破損の脆弱性に関するものであり、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避することができるとのことです。
IE11、IE10、IE9 は、本脆弱性の影響を受けないjscript9.dll がデフォルトで使用されますが、古いバージョンの JScript をサポートするために jscript.dllが提供されています。回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性が考えられます。回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

V. 参考情報

Microsoft
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer

Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/