IE 6/7/8に脆弱性、これを突いたIE6向けの攻撃コードも出回る 37
ストーリー by hylom
適切な対処をお願いします 部門より
適切な対処をお願いします 部門より
マイクロソフトが1月15日、IE 6/7/8に新たな脆弱性が見つかったと発表した(マイクロソフトのセキュリティアドバイザリ:Internet Explorer の脆弱性により、リモートでコードが実行される)。すでにこの脆弱性を悪用するIE6向け攻撃コードも出回っているとのこと。
これを受け、ドイツ政府やフランス政府はIE利用者に対し注意を呼びかけるとともに、パッチがリリースされるまでIEの利用を中止するよう警告を出したそうだ(ITproの記事)。
なお、So-net セキュリティ通信によると、この脆弱性はJavaScriptを用いるものとのことで、JavaScriptを無効にすることで攻撃を防げるとのこと。また、DEP(データ実行防止機能)を有効にすることでも防げるそうだ。
臨時パッチ (スコア:3, 参考になる)
MicrosoftがIEの臨時パッチを公開へ、脆弱性問題に対応 [itmedia.co.jp]だそうです。いつもの月例のタイミングまで待たずにパッチが出て来そうです。
Re:臨時パッチ (スコア:1)
これですかね。
マイクロソフト セキュリティ情報の事前通知 - 2010 年 1 月 (定例外) [microsoft.com]
Re:臨時パッチ (スコア:1)
Internet Explorer 用の累積的なセキュリティ更新プログラム (978207) [microsoft.com]
社内システムのほとんどがIE6.0対応の事実・・・ (スコア:1, 参考になる)
IT投資が下降の最中で、最新環境への移行は進んでいないと
思われます。
IE6.0対応(のみ)対応のWebシステムばかりで、
使い勝手ではなく、しかたなくIE6.0で運用しているWebシステムも
多いのではないでしょうか。
そういった環境を鑑みると今回の問題は危険性が高いと感じています。
#ウチもそうなのでAC
Re:社内システムのほとんどがIE6.0対応の事実・・・ (スコア:3, おもしろおかしい)
# 社内がパラダイスだったり、仕事上必要な他社のWebシステムがパラダイスだった場合にはこの限りではない。
Re: (スコア:0)
スラドが無害?
有害の間違いでは?
改ざんされてこの攻撃にさらされなくても、スラドは有害だよね。
Re: (スコア:0)
ということにしたいのですね?
Re: (スコア:0)
なにどや顔してるんですか。
Re: (スコア:0)
毒にも薬にもなりません
Re: (スコア:0)
# スラドが見れる職場は自由な環境だ
# 誰が何処のサイトを見ているかは監視してるけどAC
Re: (スコア:0)
うちはスラドは見られるし、書き込みもできるけど2chは見られない。
その基準を知りたい。
--でもAC
Re: (スコア:0)
Re: (スコア:0)
ネタにマジレス(ry
Re:社内システムのほとんどがIE6.0対応の事実・・・ (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
何で社内システムがIE6専用だからって社外までIE6でアクセスしなきゃならないの? IE7/8はIE6と共存できないけど他のブラウザはそうじゃないよ?
つーか社内システムでIE6を強要してる会社はゲートウェイでIE6が外に出ようとするのを弾けよ。本気で迷惑。
Re: (スコア:0)
他のIE以外のブラウザで社外にアクセスすれば問題ないのではと考えたが、
WindowsUpdateにIE使わないといけませんね。
なにかうまい手はないもんですかね。
DEP無効のPCなんていまどきあるの? (スコア:0)
Re:DEP無効のPCなんていまどきあるの? (スコア:1, 参考になる)
Windows XP/VistaのデフォルトはDEP無効ですよ? あなたの脳内世界ではどうだか知りませんが、80%のユーザーが [internet.com]Flash Playerを最新にしていなかったりするのが現実です。
Re: (スコア:0)
Re:DEP無効のPCなんていまどきあるの? (スコア:4, 参考になる)
ハードウェアとしてのDEPが有効でも、IEがDEP監視下にあるか否かについては別問題です。
細かい話は「メモリ保護 ( DEP/NX Memory Protection ) 機能の IE7 と IE8 の違い」http://blogs.msdn.com/jpwin/archive/2009/06/02/dep-nx-memory-protectio... [msdn.com]が詳しいです。
Re: (スコア:0)
XP SP3/Vista SP1以降の場合、Microsoftが推奨しているようにIE8をインストールするだけでもいいと思います。Windows 7でデフォルト有効なのも、Windows 7の標準ブラウザはIE8だからです。
XP SP2/Vista無印の場合、Fixit [microsoft.com]をインストールする必要があります。このFixitはアプリケーション互換データベースの機能を使って、iexplore.exeでDEPを有効にします。
システムのプロパティからデータ実行防止の設定をOptOutにすればより安全になりますが、その分副作用(一部のアプリがDEPに止められて動かなくなる可能性)も大きいです。
Windows 2000では…IE 5.01に戻すのが非現実的な場合は代替ブラウザでも使っておくしかないでしょう。
回避策それとも問題を緩和する要素? (スコア:4, 参考になる)
>XP SP3/Vista SP1以降の場合、Microsoftが推奨しているようにIE8をインストールするだけでもいいと思います。Windows 7でデフォルト有効なのも、Windows 7の標準ブラウザはIE8だからです。
マイクロソフトのセキュリティアドバイザリによれば
問題を緩和する要素とあるのにまるで回避策のような書き方はどうですかね。
しかし一方でこの脆弱性を突いた攻撃が
ことくらいは知っておいた方が役に立つと思う。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> ことくらいは知っておいた方が役に立つと思う。
それはIEの脆弱性に関するアドバイザリでテンプレのように貼られているだけで、むしろ情報量はほとんど0だと思います。Gumblarに感染したサイトを強制的に訪問させられることはないから怪しいサイトのリンクをクリックしなければ何の問題もないぜ! というなら話は別ですが。
Re:回避策それとも問題を緩和する要素? (スコア:1)
Microsoft によるテンプレだっとしても、また愚かなユーザーに悪意あるリンクを踏ませる
なんてことはクラックする側にとっては朝飯前だったとしてもね。
すでに始まっている攻撃がどういうレベルのものかを知ることは実際的だと思う。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
Re: (スコア:0)
IE6/7ではDEPを有効にすれば回避策になるけどDEPが最初から有効なIE8では緩和にしかならないというのはあまりに不自然なんですが。アドバイザリの文面を字面通りに受け止めすぎじゃありませんか。
そもそも「IE8にしろ」と言い出した [wsj.com]のはMicrosoftだし。本当に緩和にしかならないんだったら独仏政府の方が正しいってことですね。
Re: (スコア:0)
つうか、自身で状況判断しないなら最新オススメにするのがまあ、無難な選択かと思われ。
ちょっと疑問に思っただけなんですが(オフトピ) (スコア:1)
思ったらACさ・・・んっ?
ログインしてACとして発言にチェックを入れた場合でも署名って挿入される仕組み
なんでしたっけ?署名作ってないから分からないな・・・。ACだけど他と見分けがつく
ようにトリップつけてるイメージでの運用だったら御免なさい。
#何処かでみたような署名なんだよなぁ
Re: (スコア:0)
Re: (スコア:0)
走ることに疲れて「枯れた技術が最高なんだー」と信じてる世代の人なんだから、生暖かく見守ってあげなよ。
Re:DEP無効のPCなんていまどきあるの? (スコア:2)
脆弱性が出てる時点でまだ枯れきってないけどね・・・
IE 5.5使えばいいと思う!
Re:DEP無効のPCなんていまどきあるの? (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
Flash Playerを最新にしてなくて何が問題?
最新じゃない全てのversionにセキュリティに関わる
問題があるわけでもないだろうに。
Re: (スコア:0)
穴塞ぐ必要もないようなバージョンならかえって安全かもね。
でも、そういう環境ばっかりじゃないでしょう?中途半端に新しいとかさ。