Internet Explorerの脆弱性対策について(CVE-2020-0674)

2020年2月15日更新
2020年2月12日にMicrosoft社より脆弱性対応版がリリースされております。

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0674


IPAをはじめとするセキュリティ機関より、
Microsoft Interner Explorer(以下、「IE」)の脆弱性問題が報告されています。

https://www.ipa.go.jp/security/ciadr/vul/20200120-ms.html

Webページ内のJavaScriptを処理する機能(スクリプトエンジン)に脆弱性があるため、
この脆弱性を悪用する加工がされたWebサイトを閲覧することで、
異常終了やシステムの制御を奪われる等の被害が発生します。

弊社のWebブラウザ対応製品、サービスをご利用いただいているお客様に
おかれましては、Microsoft社より脆弱性対応版がリリースされるまでの間、
以下の対策を検討いただきますよう、お願い申し上げます。

  • IE以外のブラウザにも対応している製品・サービスをご利用の場合
    TimeWorks V10など、マルチブラウザ対応製品をご利用の場合は、IE以外のブラウザをご利用下さい。
  • IEのみに対応している製品・サービスをご利用の場合
    TimeWorks Web Extension R6.3以下などをご利用の場合は、環境に応じて以下の対応をお願いします。

    • 社内ネットワークにサーバがある場合は、
      お客様のファイアウォール等で、社外へのHTTP/HTTPSアクセスを制限(※)して下さい。
    • 弊社クラウドサービスをご利用の場合、
      あるいはパブリッククラウド等社外にサーバを置いている場合は、
      お客様のファイアウォール等で、対象のサーバを除く、社外へのHTTP/HTTPSアクセスを制限(※)して下さい。

    ※一般的なIPアドレス/ポートフィルタリング型ファイアウォールでは、
    他のブラウザ等での外部接続も制限されてしまいますので、
    ファイアウォール側の機能をご確認の上、
    制限方法について総合的にご判断いただきますよう、お願い致します。

なお、上記IPAのページには、当面の回避策のひとつとして

・JScript.dllへのアクセスの制限

が掲載されておりますが、
弊社のWebブラウザ対象製品は、JavaScriptを使用しておりますので、
スクリプトエンジンが動作しないと正常に動作しません。

この回避策を選択する場合は、
一定期間、弊社システムが利用できなくなることの対策を取られたうえで
実施いただくよう、お願い致します。