| Title | Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 |
|---|---|
| Summary | Microsoft が提供する Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します (CWE-416)。なお、本脆弱性を悪用した攻撃が観測されているとの情報が公開されています。 CWE-416: Use After Free (メモリ解放後の使用) http://cwe.mitre.org/data/definitions/416.html |
| Possible impacts | 細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性があります。 |
| Solution | [アップデートする] 2014年5月2日、開発者から本脆弱性に対するアップデートが公開されました。 開発者が提供する情報をもとにアップデートを行ってください。 |
| Publication Date | April 27, 2014, midnight |
| Registration Date | April 28, 2014, 6:38 p.m. |
| Last Update | May 11, 2015, 4:24 p.m. |
| CVSS2.0 : 危険 | |
| Score | 10 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| マイクロソフト |
| Microsoft Internet Explorer 6 から 11 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年04月28日] 掲載 [2014年05月02日] 対策:内容を更新 ベンダ情報:Microsoft ([回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される) を追加 ベンダ情報:Microsoft (セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開)) を追加 ベンダ情報:富士通 (マイクロソフト社 Internet Explorer の脆弱性に関するお知らせ) を追加 参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0020) を追加 参考情報:IPA 緊急対策情報 (更新:Internet Explorer の脆弱性対策について(CVE-2014-1776)) を追加 [2014年05月07日] 対策:内容を更新 [2014年05月08日] ベンダ情報:Microsoft (マイクロソフト セキュリティ情報 MS14-021 - 緊急) を追加 [2014年05月15日] ベンダ情報:Microsoft (Assessing risk for the May 2014 security updates) を追加 参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0021) を追加 参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-021)(2014年05月02日)) を追加 [2014年05月19日] CWE による脆弱性タイプ一覧:CWE-ID を追加 [2015年05月11日] 参考情報:JVN (JVNTA#99041988) を追加 参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Use-after-free vulnerability in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via vectors related to the CMarkup::IsConnectedToPrimaryMarkup function, as exploited in the wild in April 2014. NOTE: this issue originally emphasized VGX.DLL, but Microsoft clarified that "VGX.DLL does not contain the vulnerable code leveraged in this exploit. Disabling VGX.DLL is an exploit-specific workaround that provides an immediate, effective workaround to help block known attacks." |
|---|---|
| Summary | Vulnerabilidad de uso después de liberación de memoria en Microsoft Internet Explorer 6 hasta la versión 11 permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de vectores relacionados con la función CMarkup::IsConnectedToPrimaryMarkup, tal como fue explotado activamente en abril de 2014. NOTA: este problema se enfatizó originalmente en VGX.DLL, pero Microsoft aclaró que "VGX.DLL no contiene el código vulnerable aprovechado en esta explotación. La deshabilitación de VGX.DLL es una solución específica para la explotación que aporta una solución inmediata y efectiva para ayudar a bloquear ataques conocidos". |
| Publication Date | April 27, 2014, 7:55 p.m. |
| Registration Date | Jan. 26, 2021, 3:07 p.m. |
| Last Update | April 22, 2026, 4:02 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:microsoft:internet_explorer:6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:11:-:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |