2014/04/30

Windows 8.1 IE 11 の拡張保護モードの既定値が変わってた

US-CERT の脆弱性情報の 1 つが、なぜかおかしな形で報道されている今日この頃。問題の Internet Explorer (IE) の脆弱性に対する回避策の 1 つ (*1)、Windows 8 の IE 10、Windows 8.1 の IE 11 の拡張保護モードの既定値について。

*1 64 ビット Windows 7 (IE 10/11)、64 ビット Windows 8 (IE 10)、64 ビット Windows 8.1 (IE 11)、Windows RT (IE 10)、Windows RT 8.1 (IE 11) 向けの回避策でした。32 ビット版 Windows では回避策にはならないっぽい。

Windows 8 の IE 10 では拡張保護モードが、アプリ版 IE (Modern IE)で既定で有効、デスクトップ版 IEでは既定で無効でした。これが、Windows 8.1 の IE 11 からは、アプリ版 IE とデスクトップ版 IE の両方で既定で有効に変更されました。

Windows 8.1 の IE 11 は既定値で使っていれば今回の脆弱性の影響を受けないのでは? と思い 、IE 11 の設定を再確認したらデスクトップ版 IE の拡張保護モードがいつのまにかオフになってました。

犯人は昨年 11 月の IE 用の累積的な更新プログラム。アドオンの互換性問題のフィードバックを反映して、既定を無効に変更したようです。

[MS13-088] Internet Explorer 用の累積的なセキュリティ更新プログラム (2013 年 11 月 12 日)
[URL]  https://support.microsoft.com/kb/2888505

2907803
 Internet Explorer 11 の拡張保護モードを既定で無効にする更新プログラム






   Before (Windows 8.1 インストール直後)         After (KB2888505 適用後)

関連情報:
マイクロソフト セキュリティ アドバイザリ 2963983
[URL] http://technet.microsoft.com/ja-jp/library/security/2963983


追記:
※ 「拡張保護モードで 64 ビット プロセッサを有効にする」オプションは、KB2888505 以前も今も既定でオフでした。つまり、KB2888505 に関係なく、拡張保護モードの設定は必要でした。今回の IE の脆弱性の回避策としては、Windows 8/8.1 の場合、「拡張保護モードを有効にする」と「拡張保護モードで 64 ビット プロセッサを有効にする」の両方をオンにする必要があります。関係ないですが、“64 ビット プロセッサを”ではなく、“64 ビット プロセスを”のほうが適切のような (→ Enable 64-bit processes for Enhanced Protected Mode)。
※ 2013 年 11 月にリリースされた Windows 7 向け Internet Explorer 11 は、最初から拡張保護モードの既定値が無効です。

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。