*1 64 ビット Windows 7 (IE 10/11)、64 ビット Windows 8 (IE 10)、64 ビット Windows 8.1 (IE 11)、Windows RT (IE 10)、Windows RT 8.1 (IE 11) 向けの回避策でした。32 ビット版 Windows では回避策にはならないっぽい。
Windows 8 の IE 10 では拡張保護モードが、アプリ版 IE (Modern IE)で既定で有効、デスクトップ版 IEでは既定で無効でした。これが、Windows 8.1 の IE 11 からは、アプリ版 IE とデスクトップ版 IE の両方で既定で有効に変更されました。
Windows 8.1 の IE 11 は既定値で使っていれば今回の脆弱性の影響を受けないのでは? と思い 、IE 11 の設定を再確認したらデスクトップ版 IE の拡張保護モードがいつのまにかオフになってました。
犯人は昨年 11 月の IE 用の累積的な更新プログラム。アドオンの互換性問題のフィードバックを反映して、既定を無効に変更したようです。
[MS13-088] Internet Explorer 用の累積的なセキュリティ更新プログラム (2013 年 11 月 12 日)
[URL] https://support.microsoft.com/kb/2888505
2907803 | Internet Explorer 11 の拡張保護モードを既定で無効にする更新プログラム |
Before (Windows 8.1 インストール直後) After (KB2888505 適用後)
関連情報:
マイクロソフト セキュリティ アドバイザリ 2963983
[URL] http://technet.microsoft.com/ja-jp/library/security/2963983
追記:
※ 「拡張保護モードで 64 ビット プロセッサを有効にする」オプションは、KB2888505 以前も今も既定でオフでした。つまり、KB2888505 に関係なく、拡張保護モードの設定は必要でした。今回の IE の脆弱性の回避策としては、Windows 8/8.1 の場合、「拡張保護モードを有効にする」と「拡張保護モードで 64 ビット プロセッサを有効にする」の両方をオンにする必要があります。関係ないですが、“64 ビット プロセッサを”ではなく、“64 ビット プロセスを”のほうが適切のような (→ Enable 64-bit processes for Enhanced Protected Mode)。
※ 2013 年 11 月にリリースされた Windows 7 向け Internet Explorer 11 は、最初から拡張保護モードの既定値が無効です。