現在地 HOME > 掲示板
> IT1 > 467.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 467.html
★阿修羅♪
|
|
(回答先: マイクロソフト、今度はIE上の重大な欠陥を警告(CNET Japan) − マイクロソフトはもうメチャクチャですね、愚民党さん。 投稿者 シジミ 日時 2003 年 8 月 21 日 20:31:49)
Microsoft、IEとWindowsの新しいセキュリティホールを公表
http://pcweb.mycom.co.jp/news/2003/08/21/16.html
――――――――――――――――――――――――――――――――――――――
Microsoftは8月21日、同社Webブラウザ Internet Explorer(IE)に新しいセキュリ
ティホールが存在することを明らかにしたセキュリティ情報「MS03-032: Internet
Explorer 用の累積的な修正プログラム (822925)」
( http://www.microsoft.com/japan/technet/security/bulletin/MS03-032ov.asp )
を公開し、修正プログラムをリリースした。
影響を受けるバージョンは、IE 6.0 for Windows Server 2003、IE 6.0、IE 6.0
SP1、IE 5.5 SP2、IE 5.01 SP3/SP4 for Windows 2000。その他のバージョンのIE
については、すでにサポート提供の対象外ということもあり、同社によるとセキュ
リティホールの有無をテストしていないという。
今回公表されたセキュリティホールは2つ。
1つは、クロスドメインセキュリティモデルに含まれる脆弱性。IEがブラウザの
キャッシュからファイルを取得するために使用するメソッドが悪用されることによ
り、マイコンピュータゾーンでスクリプトが実行される危険性があるという。最大
深刻度は「重要」に指定されている。
もう1つは、IEがWebサーバーから返されたHTTPレスポンスを適切に確認できない脆
弱性。この結果、HTTPレスポンスに仕込まれた任意のプログラムをユーザーのコン
ピュータで実行される可能性があるという。最大深刻度は最高レベルの「緊急」に
指定されている。
同社によると、どちらの脆弱性についても対策を実施していないシステムがイン
ターネットなどのネットワークを通じて他のコンピュータと接続している場合、攻
撃を受ける可能性があるという。また、悪意のあるユーザーから送られたHTMLメー
ルからも攻撃を受ける可能性があるという。
もし攻撃を受けると、最悪の場合、コンピュータに存在するプログラムを実行され
るほか、 ディスク上の任意のファイルが読み取られる(ファイルの削除および変更
までは行われない)可能性もあるという。
同社では対策としてセキュリティパッチを公開。パッチはWindows Update
( http://windowsupdate.microsoft.com/ )、IEのWebページ「August 2003,
Cumulative Patch for Internet Explorer (822925)」
( http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp )
、もしくはセキュリティ情報のWebページ
( http://www.microsoft.com/japan/technet/security/bulletin/MS03-032ov.asp )
からダウンロードできる。
なお、今回の修正プログラムには、これまでIE 5.01/5.5/6.0向けにリリースされ
たセキュリティホールのセキュリティパッチもすべて含まれており、適用すること
で過去のセキュリティホールも併せて修正される仕組みになっている。
○Windows XPにもセキュリティホールが発覚
また、同社は同日、Windowsに標準で実装されているコンポーネント群「Microsoft
Data Access Components(MDAC)」に新しいセキュリティホールが存在することを明
らかにしたセキュリティ情報「MS03-033: Microsoft Data Access Components の
セキュリティ アップデート (823718)」
( http://www.microsoft.com/japan/technet/security/bulletin/MS03-033ov.asp )
を公開し、修正プログラムもリリースした。最大深刻度は、「重要」に指定されて
いる。
対象となるバージョンは、MDAC 2.5/2.6/2.7。MDAC 2.8は対象外となっている。現
在のMDACのバージョンを確認する方法については、同社技術情報
( http://www.microsoft.com/isapi/gosupport.asp?TARGET=/default.aspx?
scid=kb;ja;301202 )で紹介されている。
MDACは、リモートあるいはローカルのデータベースにアクセスするためのコンポー
ネント群。Windows Me/2000/XP、およびWindows Server 2003の一部に標準でイン
ストールされている。ただし、同社によると、Windows Server 2003には標準で
MDAC 2.8がインストールされているため、今回のセキュリティホールの影響を受け
ないという。
同社によると特定のブロードキャストリクエストを受信した際、一部のMDACコン
ポーネントの問題により、悪意のあるユーザーからバッファオーバーラン攻撃が行
われる可能性があるという。このため、最悪の場合、意図しないアプリケーション
を動作させられ、ウィルスの感染、データの削除、トロイの木馬などの実行などの
攻撃を受ける可能性もあるという。
同社では対策としてセキュリティパッチを公開。パッチはWindows Update
( http://windowsupdate.microsoft.com/ )、もしくはセキュリティ情報のWebペー
ジ
( http://www.microsoft.com/japan/technet/security/bulletin/MS03-033ov.asp )
からダウンロードできる。
ぜひ、該当するユーザーは攻撃を防ぐためにも、できるだけ早急に修正プログラム
を適用することをお勧めする。
(ワタリヒカル)
画像はこちら
http://pcweb.mycom.co.jp/news/2003/08/21/16.html
Windows Update
http://windowsupdate.microsoft.com/
Microsoft
http://www.microsoft.com/
題名には必ず「阿修羅さんへ」と記述してください。