現在地 HOME > 掲示板
> IT1 > 931.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 931.html
★阿修羅♪
|
|
IEの累積パッチは「不十分」の指摘。 米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず。【記事2本】
http://www.zdnet.co.jp/enterprise/0309/09/epic01.html
セキュリティ調査会社のSecuniaがInternet Explorer(IE)のユーザー
に対し、オブジェクトデータの脆弱性から身を守るためActiveXコントロ
ールとプラグインを無効にするよう促している。
Microsoftは先日、IEに新たに発見された「緊急」の脆弱性を埋める累
積パッチを発行したが、Secuniaは、Microsoftの累積パッチは適切でない
とし、また最も深刻な脆弱性を悪用する手法が既に出回っていると指摘し
ている。「この脆弱性実証方法により、各種ポルノサイトへのリンクを含
んだADPlusモジュール(SurferBar)というプログラムがインストールさ
れる。この脆弱性は簡単に悪用可能であり、多くの面で、Nimda、
BadTrans、Klezのような悪名高いウイルスが過去に利用した脆弱性と類似
している」と同社。
この脆弱性をふさぐため、IEユーザーはMicrosoftが包括的な修正を施
すまでActive Scriptingの機能を無効にすべきだという。
Secuniaによると、このオブジェクトデータの脆弱性は、電子メールや
専用に作られたWebサイトを使って悪用され、ユーザーのPC上で任意のコ
ードが実行される恐れがある。
IEはオブジェクトデータのタグで特定されたファイル拡張子によってオ
ブジェクトの安全性を判断している。悪意あるユーザーは、例えば.html
という拡張子をオブジェクトデータで指定して安全なファイルを装える。
IEがそのファイルを引き出したとき、「Content-Type」のヘッダがファイ
ルの扱い方を決める。「これにより、.htaのような実行可能ファイルを安
全なファイルと判断させ、ひそかに実行させることが可能だ」とSecunia
は警告している。
Secuniaはこの脆弱性を「非常に深刻」と表現している。
原文へのリンク
関連記事
IEとWindowsにまたも深刻なセキュリティホール
[インターネットコム]
Copyright 2003 Jupitermedia Corporation. All Rights Reserved.
※(拡張子.htaについて、)←クエスチョン
.hta (制定者不明) エイチティエー (正式名称は不明)
HTML アプリケーション ファイル
対応ソフト (HTMLアプリケーションで使用)
プラグイン 不明
注目したのは以下の箇所、
> 同氏は、Microsoftは最初に脆弱性が判明したときに適切なパッチを作
>成すべきだったと言う。「こんなに簡単なものを修正するパッチの作成に
>4カ月もかかった上に、しかもそのパッチが適切に動作しないなんて、ど
>ういうことだろう? Microsoftはセキュリティ問題に真剣に取り組んでい
>るようだ。(しかし)同時に、セキュリティ問題の改善に本当にお金と人
>材をつぎ込んでいるとは思えない」と、Maiffretは語った。
>
> パッチの欠陥を発見した研究者が「単なる見落とし」と表現するこの事
>件が起こった理由の1つとして、Microsoft社内に適切なスキルを持ったセ
>キュリティ専門エンジニアがいないことが挙げられると、Maiffretは説明。
>「適切な人材を社内に擁することで、多くのことは解決できる。
>Microsoftは有能な社員を雇っているが、それだけでは十分でないことは
>明らかだ」(Maiffret)。
エンタープライズ:
米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず
http://japan.cnet.com/news/ent/story/0,2000047623,20060815,00.htm
2003年9月8日(月) 16時55分
セキュリティの専門家によると、Internet Explorerのなかに発見され
た重要な脆弱性を修正するために、米Microsoftがリリースしたパッチが、
実は機能しないという。
「ObjectのType」に関する脆弱性は、約4カ月前にeEye Digital
Security(eEye)が発見したもので、これに対するパッチは8月20日にリ
リースされた。その後、このパッチが、環境によってはデフォルトではな
いOSインストールに対して問題を引き起こす可能性があると分かったため、
8月28日に累積パッチが再度リリースされた。そして現在、この累積パッ
チが修正するはずの脆弱性を修正しないことが判明したため、またもやパ
ッチが再リリースされることになりそうだ。
この脆弱性を悪用すると、ユーザーがIEを利用してウェブページを閲覧
した際に、悪意あるコードを呼び出して実行してしまうような悪意のある
HTMLファイルがつくれてしまう。
米国にいるeEyeの「チーフハッキングオフィサー」、Marc Maiffretは、
ZDNet Australiaの電話取材に答え、この脆弱性は簡単に悪用できてしま
うことから、特に重要度が高いと述べた。「悪用するのがとても簡単だか
ら、かなり深刻といえる。バッファオーバーフローを悪用したり、それに
似たものを作成するようなスキルがなくても、利用できる脆弱性だ」と、
Maiffretは指摘した。
同氏は、Microsoftは最初に脆弱性が判明したときに適切なパッチを作
成すべきだったと言う。「こんなに簡単なものを修正するパッチの作成に
4カ月もかかった上に、しかもそのパッチが適切に動作しないなんて、ど
ういうことだろう? Microsoftはセキュリティ問題に真剣に取り組んでい
るようだ。(しかし)同時に、セキュリティ問題の改善に本当にお金と人
材をつぎ込んでいるとは思えない」と、Maiffretは語った。
パッチの欠陥を発見した研究者が「単なる見落とし」と表現するこの事
件が起こった理由の1つとして、Microsoft社内に適切なスキルを持ったセ
キュリティ専門エンジニアがいないことが挙げられると、Maiffretは説明。
「適切な人材を社内に擁することで、多くのことは解決できる。
Microsoftは有能な社員を雇っているが、それだけでは十分でないことは
明らかだ」(Maiffret)。
今回のセキュリティ問題を最初に公表したのはmalware.comだが、
Microsoftが公表前にこの情報を知らされていたかどうかは疑わしいと
Maiffretは考えている。「malware.comが発見し、情報を公開した・・・
彼らがその情報をMicrosoftに知らせたかどうか、確信は持てない。この
方法が通常は最善なのだが」とMaiffret。
この問題について心配なユーザーは、Microsoftが新しいパッチを提供
するまで、ブラウザのアクティブスクリプト機能を無効にすれば、脆弱性
は軽減される。
関連記事:
マイクロソフト、今度はIE上の重大な欠陥を警告
また「緊急」の欠陥-今度はMS Officeに
ソフトウェアの欠陥に、法的な製造者責任は問われないのか?
Windowsの脆弱性を悪用するコード公開でワーム攻撃の怖れ
いつまで続く?-Windowsにまたもや「重大な欠陥」
だからマイクロソフトは嫌われる?-セキュリティ担当者の呆れた弁解
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編
題名には必ず「阿修羅さんへ」と記述してください。