先日公開された、Internet Explorer の脆弱性問題。内容としては割と深刻なはずなんですが、どうしてか?あまり話題になっていないような気がします。
・Internet Explorer の脆弱性とその対策/パソコンのツボ(本館)
本館の方では、上記のリンクにあるように早速取り上げさせてご紹介させていただいております。
— 何が問題なのか?
もちろん、脆弱性が問題なわけですが、今回の対象になっているのが、”Jscript.dll” という互換性のためのだけに残されているスクリプトエンジン。
現在の Internet Explorer 11 などでは、既定では “Jscript9.dll” というスクリプトエンジンを参照するようになっているので、普通に使っているのであれば問題ないわけです。
ただし、悪意のあるサイト、つまり、Jscript.dllを読み込ませるように仕組まれたサイトなどにメールのリンクやHP上のリンクから誘導されて飛ばされたり、こうしたスクリプトを読み込ませるようなメールの添付ファイルを開かせたりして、この “Jscript.dll” を読み込んでしまうとまずいわけです。
普段使用していても、特別問題もない普通のWeb閲覧をしていても、突然わけのわからない警告の画面が出てくるサイトに飛ばされてしまう…ということはよく聞く話。
そんなパターンで、こうしたサイトに誘導されてスクリプトが実行されてしまう… そんな可能性ってありうることだと思います。
Windows 7 のサポートが終了して間もなく発見された脆弱性。その影響範囲は、Windows 7 もさることながら、Windows 8.1 や、Windows 10 にも及びます。
サポートが終了した、Windows 7 向けに更新プログラムが提供されるのかどうかはわかりませんが、少なくともその可能性は低いと思った方がいいでしょう。
サポートが終了したからと言って、実際のところまだまだ Windows 7 を使っていらっしゃる方は多いようです。だからこそ、もっと注意喚起すべきかと思うわけです。
パソコンのツボ本館の記事の中では、暫定的な対策として、”jscript.dll” へのアクセス権を変更する設定方法もご紹介しています。
・Microsoft Internet Explorer の脆弱性対策について(CVE-2020-0674)/IPA
しかし、IPAのウェブサイトでも紹介されていますが、一般のユーザーにとってみれば、やはり一番簡単な方法は、Internet Explorer 11 を使用しないこと。
今回の脆弱性を機に、Internet Explorer から、 Microsoft Edge など他のブラウザへの移行を検討した方がいいですね。
New Microsoft Edge も登場しているわけなので….
Internet Explorer をご利用の方、くれぐれもご注意ください。
<参照>
・「Internet Explorer」にゼロデイ脆弱性、Microsoftは2月の月例セキュリティ更新で対処/窓の杜
・Internet Explorer の脆弱性とその対策/パソコンのツボ(本館)
・Microsoft Internet Explorer の脆弱性対策について(CVE-2020-0674)/IPA
・ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
パソコンのツボ 別館 ~ Office の TIP 