こんにちは、Internet Explorer サポート担当の原です。
4 月 28 日に公開しました Internet Explorer の脆弱性について、ご心配をおかけし申し訳ございません。
取り急ぎとなりますが、現時点で公開している回避策などの詳細について紹介します。
[2014 年 5 月 14 日 10:30 追記]
MS14-021 の置き換えとなる新しいセキュリティ更新プログラム MS14-029 を公開しました。
MS14-029 では、MS14-021 で対応している脆弱性の問題に加え、異なる脆弱性の問題を修正しています。
MS14-029 を適用すれば、MS14-021 の適用は必要ありません。
なお、MS14-029 は "累積的な" セキュリティ更新プログラムではないことに引き続きご注意ください。
後述の [注意点 2] にあるように、別途最新の累積的なセキュリティ更新プログラムを適用する必要があります。
マイクロソフトセキュリティ情報 MS14-029 - 緊急
Internet Explorer 用のセキュリティ更新プログラム (2962482)
https://technet.microsoft.com/ja-jp/library/security/ms14-029
[2014 年 5 月 2 日 13:00 追記 15:30 更新]
本脆弱性につきまして、本日セキュリティ更新プログラムを公開しております。セキュリティ更新プログラムの適用をお願いいたします。
更新プログラム本体については、Windows Update で公開されていますが、以下の TechNet サイトからもダウンロードいただけます。
マイクロソフトセキュリティ情報 MS14-021 - 緊急
Internet Explorer 用のセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/ja-jp/library/security/ms14-021
文書番号 : 2965111
タイトル : MS14-021: Security update for Internet Explorer: May 1, 2014
http://support.microsoft.com/kb/2965111/ja
本セキュリティ更新プログラムにつきまして、弊社セキュリティチームでも情報を案内しておりますので、合わせてご覧ください。
セキュリティアドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
Microsoft Update カタログからもダウンロード可能ですので、直接入手される場合は以下もご参考ください。
Microsoft Update カタログ (MS14-021 で検索ください)
http://catalog.update.microsoft.com/v7/site/Home.aspx
[注意点]
本脆弱性への対策として、既に VGX.DLL の登録解除を実施されている場合、上記セキュリティ更新プログラムの適用では VGX.DLL の再登録は行われません。
セキュリティ更新プログラムの適用前に VGX.DLL を再登録しなくても、更新プログラムの適用には成功しますが、VML の描画は依然として行えない状態です。
必要に応じて、VGX.DLL の再登録をご検討ください。
[注意点 2]
本日の更新プログラム (MS14-021)のみの適用では、互換性の問題が発生する可能性があります。
そのため、最新の累積的なセキュリティ更新プログラム (MS14-018、IE11 のみ MS14-012) を合わせて適用ください。
MS14-018 (IE11 では MS14-012) を適用していなくても、本日の更新プログラム (MS14-021) を適用することができます。
しかしながら、MS14-021 は IE のすべての更新を含む累積的な更新プログラムではないため、合わせて MS14-018 / MS14-012 を適用することを強くお奨めいたします。
また、もしも MS14-021 のみの適用でなんらかの問題が発生する場合も、MS14-018 / MS14-012 の適用により解決する可能性が高いです。
---
まずは以下の記事をご覧いただき、対策をご検討くださいますと幸いです。
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開
http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx
なお、vgx.dll の登録を解除すると、VML と呼ばれる、線や円などのベクトル図形を表現する記述が含まれる Web ページの描画が行われません。
弊社では現在、脆弱性の修正を含む根本的な対応策を検討しておりますが、この問題に対処するセキュリティ更新プログラムが利用可能になったら、vgx.dll の再登録をご検討ください。
[2014 年 5 月 1 日追記]
よくあるご質問をまとめて公開しましたので、以下も是非ご参考ください。
[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/05/01/faq-security-advisory-2963983.aspx
また、vgx.dll の登録が解除できたかどうかを確認する方法についてお問い合わせをいただいているため、以下に案内します。いずれかの方法でご確認ください。
1. レジストリを確認する
vgx.dll の登録が正しく解除できている場合、以下のレジストリが存在しない状態になります。
32 ビット環境 (2 つ)
・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
・HKEY_CLASSES_ROOT\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
64 ビット環境 (4 つ)
・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
・HKEY_CLASSES_ROOT\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
・HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
・HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{10072CEC-8CC1-11D1-986E-00A0C955B42E}
2. VML のサンプルが表示できるかどうかを確認する
以下の HTML をファイルに保存し、IE 上で表示します。通常ですと青い円が表示されますが、vgx.dllの登録を解除した場合には表示されません。
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns="http://www.w3.org/1999/xhtml" xml:lang="ja" lang="ja">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=5" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>VML TEST</title>
<style type="text/css">
v\:line, v\:rect, v\:roundrect, v\:oval { behavior: url(#default#VML); display:inline-block; }
</style>
</head>
<body>
VML Oval TEST<BR>
<v:oval style='width:200px;height:100px' fillcolor='blue' />
</body>
</html>
---
より詳細な情報をお求めの場合は、以下のセキュリティ アドバイザリをご覧ください。
今後の最新情報は、わかり次第以下のサイトに追記してまいります。
マイクロソフトセキュリティアドバイザリ 2963983
Internet Explorer の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-JP/library/security/2963983
どうぞよろしくお願いいたします。