piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Corelan Teamが発見したIEの脆弱性CVE-2014-1770に関係する情報についてまとめてみた

ZDIが公開したアドバイザリZDI-14-140に記載されている IE脆弱性 CVE-2014-1770についてここではまとめます。

概要

Corelan Teamが発見したIE脆弱性情報についてZDIが提供を受け、MicrosoftとZDIが調整していましたが、ZDIの定めるルール180日間*1を過ぎたため、MSへ事前通知を行った上で、2014年5月22日(日本時間)にZDIがセキュリティアドバイザリを公開しました。
アドバイザリではIE8のCMarkupにuse-after-freeの脆弱性が存在することが言及されています。2014年5月22日時点でMicrosoftから修正版の提供やセキュリティアドバイザリの公開は行われておりません。なお、Microsoftは既にテストに取り組んでいるとの情報もあります。*2

  • CVE-2014-1770のポイント
    • ZDIから公開された情報は脆弱性に関するアドバイザリであり、Exploitではない。
    • 攻撃が確認されている脆弱性ではない。
    • 公開情報だけから攻撃を行うことは難しいが、TippingPointは対応済みでありリバースエンジニアリングをすることで攻撃の糸口をつかまれる可能性はある。

影響を受ける製品

  • Internet Explorer 8
    • IE8はWindows XPVista、7が対応しています。(Server版は2003、2008、2008R2)
    • OSについての言及はZDIのアドバイザリでは言及なし。

脆弱性識別番号

対策

MicrosoftからCVE-2014-1770の修正版は2014年5月22日時点では公開されていません。

緩和策
  • EMETを利用する。
  • インターネットのセキュリティゾーンを「高」にする。
  • インターネットとローカルイントラネットのセキュリティゾーンで次の通り設定を変更する。
回避策
  • IE以外のブラウザを利用する。
  • IE11を利用する。

タイムライン

日時 出来事
2013年10月11日※ ZDIからMicrosoft脆弱性情報を連絡
2014年2月10日※ Microsoftから再現性について確認の連絡
2014年4月9日※ ZDIルールの180日を経過
2014年5月8日※ ZDIからMicrosoft脆弱性情報公開の事前通知
2014年5月21日※ ZDIがZDI-140として脆弱性情報を公開

※ ZDI公開時間による

更新履歴

  • 2014/05/22 PM 新規作成