JPCERT/CCは1月19日、マイクロソフトが1月17日(米国時間)にInternet Explorerの脆弱性 (CVE-2020-0674) に関する情報を公開したとして、注意を喚起した。

この脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるおそれがあるほか、この脆弱性の悪用を目的として、第三者がユーザーを悪意のあるサイトへ接続させたり、加工したMicrosoft Office文書などを実行させたりする攻撃が行われる可能性があるという。

ADV200001

Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability

対象となる製品とバージョンは次のとおり。

Microsoft Internet Explorer 9

Microsoft Internet Explorer 10

Microsoft Internet Explorer 11

1月19日(日本時間) 時点で、同脆弱性への対策は提供されていない。JPCERT/CCは対策として、マイクロソフトが公開した 回避策を適用するか、別のWebブラウザを利用することを勧めている。

この脆弱性は、JScript のスクリプトエンジンにおけるメモリ破損の脆弱性に関するものであることから、jscript.dll へのアクセス権限を制限することで、脆弱性の影響を回避できるという。

マイクロソフトはこの脆弱性の修正を進めており、月次セキュリティ更新プログラムのタイミングなどで、この脆弱性の修正を含む更新プログラムを提供する予定。