JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月24日、米マイクロソフトから9月23日(米国時間)にMicrosoft Internet Explorerの脆弱性 (CVE-2019-1367) に関するセキュリティ更新プログラムが公開されたとして、注意を呼びかけた。

この脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがある。マイクロソフトによると、この脆弱性の悪用が確認されているという。

対象となる製品およびバージョンは次のとおり。

Internet Explorer 11

  • Windows 10 Version 1703 for 32-bit Systems (KB4522011)
  • Windows 10 Version 1703 for x64-based Systems (KB4522011)
  • Windows 10 Version 1803 for 32-bit Systems (KB4522014)
  • Windows 10 Version 1803 for x64-based Systems (KB4522014)
  • Windows 10 Version 1803 for ARM64-based Systems (KB4522014)
  • Windows 10 Version 1809 for 32-bit Systems (KB4522015)
  • Windows 10 Version 1809 for x64-based Systems (KB4522015)
  • Windows 10 Version 1809 for ARM64-based Systems (KB4522015)
  • Windows Server 2019 (KB4522015)
  • Windows 10 Version 1709 for 32-bit Systems (KB4522012)
  • Windows 10 Version 1709 for 64-based Systems (KB4522012)
  • Windows 10 Version 1709 for ARM64-based Systems (KB4522012)
  • Windows 10 Version 1903 for 32-bit Systems (KB4522016)
  • Windows 10 Version 1903 for x64-based Systems (KB4522016)
  • Windows 10 Version 1903 for ARM64-based Systems (KB4522016)
  • Windows 10 for 32-bit Systems (KB4522009)
  • Windows 10 for x64-based Systems (KB4522009)
  • Windows 10 Version 1607 for 32-bit Systems (KB4522010)
  • Windows 10 Version 1607 for x64-based Systems (KB4522010)
  • Windows Server 2016 (KB4522010)
  • Windows 7 for 32-bit Systems Service Pack 1 (KB4522007)
  • Windows 7 for x64-based Systems Service Pack 1 (KB4522007)
  • Windows 8.1 for 32-bit systems (KB4522007)
  • Windows 8.1 for x64-based systems (KB4522007)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (KB4522007)
  • Windows Server 2012 (KB4522007)
  • Windows Server 2012 R2 (KB4522007)

Internet Explorer 10

  • Windows Server 2012 (KB4522007)

Internet Explorer 9

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (KB4522007)
  • Windows Server 2008 for x64-based Systems Service Pack 2 (KB4522007)

マイクロソフトによると、この脆弱性は JScript スクリプトエンジンにおけるメモリ破損の脆弱性に関するものであることから、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避できるという。

ただし、jscript.dllへのアクセス制限を施すことで、JScript を利用する Webサイトなどで影響が生じる可能性もあるるため、JPCERT/CCは回避策を適用する際は、十分に影響範囲を考慮するようアドバイスしている。