2015/03/14

EMET 5.2 出ました。でもご用心! (3/17 追記あり)

3/20追記) @IT さんに EMET 5.2 さんの記事を書きました。→ http://www.atmarkit.co.jp/ait/articles/1503/20/news082.html


Enhanced Mitigation Experience Toolkit (EMET) 5.2 出ました。サポート対象 OS は、Windows Vista SP2 以降、Windows Server 2003 SP2 以降。Windows XP はもちろん非サポート。

Security Research and Defense Blog > EMET 5.2 is available (12 Mar 2015)
[URL] http://blogs.technet.com/b/srd/archive/2015/03/12/emet-5-2-is-available.aspx
Enhanced Mitigation Experience Toolkit 5.2
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=46366


アップグレードする前に次のことを知っておくと良いと思います。

3/17 追記) Windows 8.1 と IE 11 の組み合わせで IE 11 がクラッシュする問題、修正版を出したと上のブログで言ってます。Date Published: 3/16/2015 の EMET 5.2 Setup.msi をダウンロードし直して再インストールしてみてください。

ダウンロードしたら EMET 5.2 Setup.msi のデジタル署名が 2015 年 3 月 17 日であることを確認してね。前回ダウンロードしたキャッシュを引っ張ってくるかもしれないです。デジタル署名が 2015 年 3 月 12 日だったら古いヤツなので、その場合は別ブラウザーでダウンロードしてみるとよいかも。
3/16/2015 UPDATE: We have received reports of certain customers experiencing issues with EMET 5.2 in conjunction with Internet Explorer 11 on Windows 8.1. We recommend customers that downloaded EMET 5.2 before March 16th, 2015 to download it again via the link below.

EMET 5.2 を Windows 8.1 x64 (x86 もかも) に入れると、もれなく IE 11 クラッシャーとして仕事をしてくれます。もう IE 11 で Web を見ることはできません。私の環境でも再現しました(→)。

EMET 5.2 Breaks Internet Explorer 11
[URL] https://social.technet.microsoft.com/Forums/security/en-US/e46d951e-d8b1-4357-88d2-23f376bd3160/emet-52-breaks-internet-explorer-11?forum=emet


3/16 追記) “もれなく”は言い過ぎかもしれませんが、私の環境はすべて NG でした。2 台の物理 PC、2 台の仮想マシン、x64、x86 全部 NG。
 
iexplore.exe のすべての緩和策を無効にしても解消されません。 iexplore.exe  をアプリケーションのリストから削除すれば IE 11 は落ちなくなりますが、EMET 5.2 は IE 11 を保護してくれなくなります。EMET 5.2 をアンインストールして、EMET 5.1 に戻すしかないかも。というわけで、Windows 8.1 x64 さんとから EMET 5.2 はお別れ。

3/16 追記) 全体設定で Certificate Trust (Pining): Disabled にすると、iexplore.exe の他のすべての緩和策が有効でもクラッシュ問題は回避できるみたい。でも、それだと証明書信頼の機能を捨てることに。

EMET 5.1 のときもそうでしたが、EMET 5.2 も Configuration Wizard の Keep Existing Settings が EMET 5.1の設定を引き継いでくれないような気がします。アップグレード前に旧設定をエクスポートしておくことをお勧めします。私の環境だけかもしれませんが。

3/16 追記) “EMET 5.2 を Windows 8.1 で使えているよ!”って方は、アプリの一覧を見てみてください。Keep Existing Settings でアプリの保護設定が空っぽかもしれませんよ。

EMET 5.0 からの Windows 7/Vista で証明書信頼のピン規則によるWebサイトの保護が期待どおりに動いてくれない問題は、EMET 5.2 でも解消されていないようです。証明書信頼の機能があるから安心していても、実は何もしてくれてないってことです。私の環境だけかもしれませんが。


“EMET を Windows に最初から入れておけばいいのに”って声を聞くことありますが、これじゃぁねぇ。

関連:
EMET 5.1 (2014/11/11)
EMET 5.0 (2014/08/01)
EMET 4.1 Update 1 提供開始 (2014/05/01)

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。