US-CERT is aware of active exploitation of a use-after-free vulnerability in Microsoft Internet Explorer. This vulnerability affects IE versions 6 through 11 and could allow unauthorized remote code execution. US-CERT recommends that users and administrators review Microsoft Security Advisory 2963983 for mitigation actions and workarounds. Those who cannot follow Microsoft's recommendations, such as Windows XP users, may consider employing an alternate browser.
あいかわらずだなあ (スコア:4, 参考になる)
タレコミにリンクがないですが、US-CERTの警告とやらは、以下のページですかね。
http://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-Inte... [us-cert.gov]
US-CERT is aware of active exploitation of a use-after-free vulnerability in Microsoft Internet Explorer. This vulnerability affects IE versions 6 through 11 and could allow unauthorized remote code execution.
US-CERT recommends that users and administrators review Microsoft Security Advisory 2963983 for mitigation actions and workarounds. Those who cannot follow Microsoft's recommendations, such as Windows XP users, may consider employing an alternate browser.
「ユーザや管理者は、Microsoftのアドバイザリにある緩和策をよく読んでね。Windows XPユーザなど、Microsoftの推
Re: (スコア:0)
まあ普通に読めば「Windows XPを捨てろ」なんですけど、なぜか世間の反応は「IEを捨てろ!」の方向になってしまっています。
Apache Strutsの脆弱性などとかぶったこと、ゴールデンウィークでIT企業が手薄な時期だったことが原因ですかね。
うちに出入りしているIT企業さんも、「御社ではIEの対応はどうされますか。別のお客さんから色々言われてまして。うちも公式には休みなので、すぐに対応できる人員が確保できるかどうか。」と朝から電話をかけてきました。
もちろん、「IEの脆弱性なんていつものことでしょ。何騒いでるの。」で済ませましたが。
Re:あいかわらずだなあ (スコア:0)
> まあ普通に読めば「Windows XPを捨てろ」なんですけど、
どこを、どのように普通に読めば「Windows XPを捨てろ」と読めますか?
普通じゃなくて現実歪曲メソッドで読めば、そういうように読めるルートもあります。
> Apache Strutsの脆弱性などとかぶったこと、ゴールデンウィークでIT企業が
> 手薄な時期だったことが原因ですかね。
たぶん、関係ないです。
単純にMSが出してるアドバイザリーを全然読まない人が多いからじゃないでしょうか。
または、OpenSSL、Apache Strutsと連続するIT関連のセキュリティ問題の報道が流行ってるのかも。
> うちに出入りしているIT企業さんも、「御社ではIEの対応はどうされますか。
> 別のお客さんから色々言われてまして。うちも公式には休みなので、
> すぐに対応できる人員が確保できるかどうか。」と朝から電話をかけてきました。
AD使ってればIEを使ったまま、回避策を設定するのは簡単ですね。
> もちろん、「IEの脆弱性なんていつものことでしょ。何騒いでるの。」で済ませましたが。
いつもの事じゃないですけどね。これだけ大きいのは久しぶりです。
今回は「XP用には修正はリリースされない」という最初の脆弱性になるので、ニュースも飛びついたんだと思います。
Re: (スコア:0)
IE9からIE11が真っ先に対象になっているのに、現在進行形のzero-dayそっちのけでXPの名前を出す不思議
Re: (スコア:0)
FireEye が確認したのが IE9~11を対象にした攻撃というだけで、それしか攻撃がないといっているわけではない。見つかっていないだけの可能性もある。
そしてこの脆弱性に対するセキュリティアドバイザリがXPには出ない事とXP利用者が多い事が、zero-dayそっちのけで「XP」の名前が出ている理由だろう。今のところ一般には永遠の脆弱性なので。
Re: (スコア:0)
確認済の現象に対応しようとせず、それよりもWindowsXPの問題に矮小化しようとしている方々の考え方は理解できません
現在進行形のzero-dayに対応するよりもWindowsXPについて語る方が大事なのですか?
Re: (スコア:0)
脆弱は発見されてから対応されるまではzero-dayです。そういう意味では2003以降のIE6、その他 IE7, 8も現在進行形の zero-dayで、並行した問題です。
XPは対応されないので zero-dayと呼べるかどうかは知りませんがそんなのは言葉のあやで脆弱性は脆弱性です。
私はXPだけの問題にしろと言ってるつもりはないですが、かたくなに IE9-11に絞る必要もないとも思ってます。
Re: (スコア:0)
いや、XP以外はセキュリティアドバイザリが出てるんだから、それで対処できる話でしょう。
US-CERTの勧告は、(1) まずセキュリティアドバイザリを読め、(2) それに従った対処ができない場合(XPなど)は、別のブラウザを使うことも検討しろ、といっています。
あなたは(1)を無視している点でマスコミの報道と同レベルです。ちょっとアンチ活動に必死すぎやしませんかね。
であれば、 (スコア:0)
>Windows XPユーザなど
>普通に読めば「Windows XPを捨てろ」なんですけど
は余計だし、間違っていますね
Re: (スコア:0)
さっぱり意味が分からない
アンチって何のアンチですの?
アンチ活動って何?
偏見に凝り固まっているのは誰でしょうか?
>普通に読んでXPを捨てろ
確認された脆弱性とAttackに対応するより、WindowsXPの問題にしようとそっちのけで書いている方々に、それは違うよと呼びかけているだけです
これが何のアンチになるのだろうか
Re: (スコア:0)
'such as Windows XP users, ' と書いてありますね。
それは別に余計とは思いませんが、US-CERTからして余計な事を言っているという事ですか?
>> 普通に読めば「Windows XPを捨てろ」なんですけど
このツリーはこれを否定する流れだと思ってます。
Re: (スコア:0)
でもXPでもMSが出している回避策で問題は回避できるんですけどね。
MSはサポートが終了したXPに言及していないだけで、XPでも回避策は有効なんですよ。
修正パッチは出ませんけどね。