treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

IEの緊急パッチが19年9月23日リリース

緊急でInternet Explorer向けセキュリティ更新プログラムがリリースした、という情報をキャッチし、試しに適用してみたのでご報告します。
現状は手動でダウンロードして適用するしかないみたい。

脆弱性の公表

Internet Explorerでスクリプトエンジンがメモリ内のオブジェクト処理を実行するとき、リモートでコードを実行することが可能な脆弱性がある、というセキュリティインシデントです。
既に攻撃も確認されているということの模様。詳細は以下のページで確認可能。

■CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367

この記載によると、
「脆弱性を突いて攻撃した際に、ログイン中のユーザとそっくり同じ権限で別のユーザを作成してしまう」
という攻撃をしてくるようです。※以下引用
--------------------------------------------------------------
現在のユーザーが管理者ユーザー権限でログオンしているときに、攻撃者によりこれらの脆弱性が悪用された場合、影響を受けるコンピューターが制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
--------------------------------------------------------------
つまりAdministratorsグループに所属しているユーザでログイン中にこの攻撃を受けてしまうと、攻撃者がAdministratorsグループ所属の自分用ユーザアカウントを作成できてしまう、という。
てことは、Usersグループで利用している人は影響は最小限に食い止めることができるのかも。

回避策

上述のURLの文書内では、アップデート適用前に回避策として「jscript.dll」のアクセス権限を制限してしまう、という方法でも脆弱性の影響を回避できる、という主旨の記述があります。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367の回避策の項

JScriptスクリプトエンジンの脆弱性、ということで「jscript.dll」にアクセス制限を掛けてしまえば、ということなんでしょうか。
ただ、everyoneを拒否するコマンドに見えるのですが、元々このファイルにはeveryoneのアクセス権ってないんですよね。
回避策を実行するとJScriptを利用するサイトへのアクセスに影響が出るため、JScriptを利用するサイトを利用する場合には、アップデートの適用が必須になりそうです。

アップデート適用

さっそくWindows10バージョン1809の環境で適用してみました。
先のURLのページから、直接Microsoft Update Catalogサイトへのリンクが掲載されています。自身の環境のバージョンを確認して、同じバージョンの「Security Update」と記載のあるリンクをクリックすると

f:id:treedown:20190924115156p:plain
該当の更新プログラムをダウンロード可能なMicrosoft Update Catalogページを開くことができます。
ダウンロード後、

f:id:treedown:20190924115211p:plain
ファイルを実行しました。

f:id:treedown:20190924115226p:plain
インストーラが開始します。

f:id:treedown:20190924115239p:plain
1809用のKB4522015の表記があります。これをインストールしてみることにします。

f:id:treedown:20190924115252p:plain
インストール中。

f:id:treedown:20190924115304p:plain
待ちます。

f:id:treedown:20190924115319p:plain
完了しました。

完了後、再起動で適用は完了します。
まだ適用したばっかりでどんな不具合を抱えているか、はたまた不具合はないのかという点は不明ですが、テスト(を兼ねた)環境で問題なければ、Internet Explorerを利用する環境での展開を考えてみたいところです。

ん?よく見たら…各KB番号のリンクに個別の詳細ページがあって、個別のページに「Known issues in this update」の記載がありました。見ておけば良かったかな。

1809だと

https://support.microsoft.com/ja-jp/help/4522015/windows-10-update-kb4522015

ここ。

後日追記:

同年9月25日~9月27日にて更新プログラムがWindows10のWindows Updateで配信されたようです。
LTSB(v1607)でも配信されていました。

f:id:treedown:20190930094221p:plain

v1809ではKB4516077、v1803はKB4516045、v1709ではKB4516071が配信されるよう。
その他のバージョンは手持ちにないので確認できていません。