IE のぜい弱性に注意 (vgx.dll, CVE-2014-1776)

JPCERT/CC や IPA/ISEC が注意喚起しているように IE で見つかったゼロデイが大騒ぎになっているようなのでメモ。サポートが終了した IE 6 から 最新の IE 11 まで影響がありますので、IE を使う可能性がある場合には何らかの対策を取っておいた方が良いでしょう。

• 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
• 更新：Internet Explorer の脆弱性対策について(CVE-2014-1776)：IPA 独立行政法人 情報処理推進機構

EMET 等を使うのももちろん効果がありますが、一番お手軽なのはぜい弱性のあるコンポーネントである vgx.dll を無効化してしまうことでしょうか。vgx.dll を無効化するとブラウザで VML が見られなくなりますが、あまり一般的に使われている機能でもないので、影響は軽微だと思われます。

dll の登録と登録解除には 一般的にはRegsvr32 を使う^*1ことになりますが、これはコマンドラインツールなので取っつきにくい人も多いのではないかと思います。そんな作業を GUI から行うことができる、IE_Remove_VGX_DLL も公開されているので有効活用したいところです。

• 「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開 - CNET Japan
• [blog] 西村誠一のパソコン無料サポートとオンラインソフト : IE6～11の深刻な脆弱性の対策ソフト「IE_Remove_VGX_DLL」 Ver0.2の公開を開始しました - livedoor Blog（ブログ）

† 参考

• マイクロソフト セキュリティ アドバイザリ 2963983
• CVE - CVE-2014-1776
• NVD - Detail

• ^*1: Regsvr32 ツールを使用する方法および Regsvr32 のエラー メッセージをトラブルシューティングする方法