Internet Explorer用セキュリティ更新プログラム（2018年8月）

high Nessus プラグイン ID 111695

Language:

概要

リモートホスト上のInternet Explorerのインストールは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているInternet Explorerに、セキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性の影響を受けます。- スクリプトエンジンがInternet Explorerのメモリでオブジェクトを処理する方法に、リモートでコードが実行される脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破損させる可能性があります。この脆弱性の悪用に成功した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2018-8353、CVE-2018-8371、CVE-2018-8373、CVE-2018-8389）- Microsoftのブラウザーがメモリでオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破壊する可能性があります。この脆弱性の悪用に成功した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2018-8403）- スクリプトエンジンがMicrosoftブラウザーのメモリでオブジェクトを処理する方法に、リモートでコードが実行される脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破損させる可能性があります。この脆弱性の悪用に成功した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2018-8355、CVE-2018-8372、CVE-2018-8385）- 影響を受けるMicrosoftブラウザーがフレーム間のやりとりを不適切に許可するとき、情報漏えいの脆弱性があります。この脆弱性の悪用に成功した攻撃者が、異なるドメインからブラウザーのフレームやウィンドウの状態を取得できる可能性があります。攻撃を成功させるには、攻撃者はユーザーがセキュリティで保護されたWebサイトから悪意のあるWebサイトを開くよう誘導する必要があります。この更新プログラムでは、オブジェクトモデルの状態を読み取るためのアクセス許可を拒否し、異なるドメインのフレームやウィンドウにアクセス権を付与しないことにより脆弱性に対応しています。（CVE-2018-8351）- Internet Explorerが実行可能ライブラリを読み込む前にハイパーリンクを不適切に検証するとき、リモートでコードが実行される脆弱性があります。この脆弱性を悪用した攻撃者が、影響を受けるシステムを乗っ取る可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2018-8316）

ソリューション

Microsoftはこの問題に対処するために、以下のセキュリティ更新プログラムをリリースしています：-KB4343205 -KB4343898 -KB4343900 -KB4343901。CVE-2018-8316には、この脆弱性に対応するセキュリティ専用パッチ（KB4343899）をユーザーがインストールできることが記載されています。詳細については、KB4343899のリンクを参照してください。