JPCERT コーディネーションセンター(JPCERT/CC)は12月20日、Microsoft Internet Explorer の脆弱性 (CVE-2018-8653) について、注意を喚起した。

マイクロソフトからInternet Explorerの脆弱性 (CVE-2018-8653)に関するセキュリティ更新プログラムが公開されたが、これには、深刻度が「緊急」のセキュリティ更新プログラムが含まれている。

  • マイクロソフト CVE-2018-8653  スクリプト エンジンのメモリ破損の脆弱性

対象の脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるおそれがあり、マイクロソフトは脆弱性の悪用を確認しているという。

対象となる製品とバージョンは以下の通り。

Internet Explorer 11
- Windows 10 Version 1703 for 32-bit Systems (KB4483230)
- Windows 10 Version 1703 for x64-based Systems (KB4483230)
- Windows 10 Version 1803 for 32-bit Systems (KB4483234)
- Windows 10 Version 1803 for x64-based Systems (KB4483234)
- Windows 10 Version 1803 for ARM64-based Systems (KB4483234)
- Windows 10 Version 1809 for 32-bit Systems (KB4483235)
- Windows 10 Version 1809 for x64-based Systems (KB4483235)
- Windows 10 Version 1809 for ARM64-based Systems (KB4483235)
- Windows Server 2019 (KB4483235)
- Windows 10 Version 1709 for 32-bit Systems (KB4483232)
- Windows 10 Version 1709 for 64-based Systems (KB4483232)
- Windows 10 Version 1709 for ARM64-based Systems (KB4483232)
- Windows 10 for 32-bit Systems (KB4483228)
- Windows 10 for x64-based Systems (KB4483228)
- Windows 10 Version 1607 for 32-bit Systems (KB4483229)
- Windows 10 Version 1607 for x64-based Systems (KB4483229)
- Windows Server 2016 (KB4483229)
- Windows 7 for 32-bit Systems Service Pack 1 (KB4483187)
- Windows 7 for x64-based Systems Service Pack 1 (KB4483187)
- Windows 8.1 for 32-bit systems (KB4483187)
- Windows 8.1 for x64-based systems (KB4483187)
- Windows RT 8.1 (KB4483187)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4483187)
- Windows Server 2012 R2 (KB4483187)

Internet Explorer 10
- Windows Server 2012 (KB4483187)

Internet Explorer 9
- Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4483187)
- Windows Server 2008 for x64-based Systems Service Pack 2 (KB4483187)

マイクロソフトは回避策として、jscript.dll へのアクセス権限を制限することを紹介している。ただし、jscript.dlにアクセス制限を行うことで、JScriptを利用するWebサイトなどで影響が生じる可能性が考えられるため、回避策の適用にあたっては、考慮の上、実施することが推奨される。