IE6~11に新たな脆弱性が発見される。Windows XP向けの対応はなし 63
ストーリー by hylom
もうサポートは終わったのです 部門より
もうサポートは終わったのです 部門より
あるAnonymous Coward 曰く、
4月26日、Microsoftがセキュリティアドバイザリ2963983(日本語訳)を公開した。対象はInternet Explorer 6~11で、IEを実行中のユーザーの権限で任意のコードが実行される可能性があるという。
これに対応するセキュリティ更新プログラムはまだリリースされておらず、当面の対策としてEMET 4.1以降の有効化や「ActiveXコントロールおよびアクティブスクリプト」のブロック(=JavaScriptを無効にする)、「VGX.DLLの登録を解除する」などが提示されている。
対策として「VGX.DLL」が挙げられているということで、今回の脆弱性はブラウザ上でベクター画像を描画するVML絡みの問題である可能性がある。VML絡みの脆弱性は2006年にも確認されている。
「Windows XP向けの対応はなし」? (スコア:2)
タイトルからXPには脆弱性修正パッチが配布されないと読んで、そりゃそうだろうと思ったのですが本文にはXPに関する言及がない。
セキュリティアドバイザリ2963983文書中の「影響を受けるソフトウェア」のオペレーティングシステムの項目の中にXPが無いことをもって「対応はなし」ということかな。
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"をXPで実行してもでもだめかな?
検証できる環境がないから試せない。
Re:「Windows XP向けの対応はなし」? (スコア:5, 参考になる)
その方法で大丈夫な様です。手元のXP SP3で確認しました。
http://d.hatena.ne.jp/Kango/20140427/1398602077 [hatena.ne.jp]
(5) VMLコンポーネントを無効にする
攻撃に悪用されているVMLコンポーネントを無効化することで影響を緩和できる様です。具体的には次のコマンドを実行してVGX.dll無効化します。
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
Re:「Windows XP向けの対応はなし」? (スコア:1)
-u が「登録解除」のオプションです
登録時はオプション梨でOK
よって
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
です。
Re:「Windows XP向けの対応はなし」? (スコア:1)
[Window Title]
RegSvr32
[Content]
使用法: regsvr32 [/u] [/s] [/n] [/i[:コマンド ライン]] DLL 名
/u - サーバーを登録解除する
/s - サイレント; メッセージ ボックスを表示しない
/i - 省略可能な [コマンド ライン] を引数として DllInstall を呼び出す; /u と併用した場合は dll uninstall を呼び出す
/n - DllRegisterServer を呼び出さない; このオプションは /i と併用する必要がある
[OK]
Re:「Windows XP向けの対応はなし」? (スコア:1)
IE6~11の深刻な脆弱性の対策ソフト「IE_Remove_VGX_DLL」 Ver0.1の公開を開始しました
http://blog.livedoor.jp/khb02323/archives/51312045.html [livedoor.jp]
Re: (スコア:0)
今までもサポート終了したOSについては影響を受けるのかどうかの調査すらされなかった。IE6が出ているのも、Windows Server 2003 R2のサポートが続いているからに過ぎない。
Re: (スコア:0)
Windows XP Embeddedぉ
Re: (スコア:0)
そういやEmbeddedのセキュリティ情報ってどこで入手できるの? 通常のアドバイザリには書かれていないみたいだけど。
Re: IE6~11に新たな脆弱性が発見される。Windows XP向けの対応はなし (スコア:1)
InternetExplorerのゼロデイ(CVE-2014-1776)をまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140427/1398602077 [hatena.ne.jp]
Chrome のCMになってた.... (スコア:1)
今テレビを見てたら、IEの脆弱性の紹介の後に、ブラウザのシェアの紹介があって、Chrome のシェアがIEを超えたとか。
こういう報道の仕方はやめて欲しいなぁ...
何も考えずに Chrome をインストールして安心する人が増えそうです。
Re: (スコア:0)
何も考えずに Chrome をインストールすればいいんじゃないの?
何も考えずに標準でついてるソフトしか使わないんじゃこう言う時に困るんだから。
Re: (スコア:0)
何も考えずに行動されるととても迷惑だな。
「IEの脆弱性の対応のため、IEの使用をやめて他のブラウザに変える必要があります。
推奨はGoogle Chromeです。以下のリンクからダウンロードしてインストールしてください」
って書いてマルウェアをダウンロード・インストールさせる標的型攻撃が発生したらどうするの?
IEの脆弱性を避けるためにChromeにした人を狙って、Chromeの0day攻撃が始まったらどうするの?
だから、本当の最適解は他のブラウザを使うのではなく、IEを使う上での回避策を施すのが正しいんだよね。
何も考えずに使うなら、標準でついてるソフトだけを使うのがマシなんだよ、覚えておいてね。
Re:Chrome のCMになってた.... (スコア:1)
うーん。前に、そういう記事がどっかにあったはずだけどみつからない。
この話は、少しまゆに唾つけた感じでお願いしたいのだが。
chromeは(chromeに限らずだが)、公式でないダウンロードサイトからダウンロードして、ついでにマルウェアに感染する人がいる。
みたいな警告がどっかのニュースサイトに上がった記憶があるんだよな。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re: (スコア:0)
むしろWebサイトを見ただけでウィルス感染とか、何を今更な内容に愕然。
IEやOutlookを使ってればこんなのは日常茶飯事なんだから、侵入してきたウィルスにウィルス対策ソフトがちゃんと機能するかとか、ウィルス観戦するくらいの余裕がないと。
Re:Chrome のCMになってた.... (スコア:1)
ウィルス観戦するくらいの余裕がないと。
Netsky(+Sasser) vs MyDoom,Bagleの戦い [cnet.com]とかですか?(違
#を、もう10年も前の話なのかw
教えてください! (スコア:0)
素人なのでブラウザがベクター画像を表示するなんて場面を想像出来ないのですが、どんな時にvgx.dllが使われるのでしょうか?
Re:教えてください! (スコア:2)
ベクター画像にもいろいろな形式があるので、 #2590704 の人が言う通り、ベクター画像で一括りにしているのは混乱の元。 vgx.dll の登録を解除しても、表示されなくなるのは VML 形式のベクター画像だけで、 SVG 形式のベクター画像は変わらず表示される。
SVG 形式のベクター画像なら、あちこちに使われている。例えば Google トレンド [google.co.jp]でページ右側に表示されているグラフとか、これに限らずグラフ等の画像をインタラクティブに変更する必要がある場合には、よく使われる。ただし、今問題になっている VML 形式ではないので、今回の脆弱性とは関係ないはず。
ブラウザーで VML 形式のベクター画像が必要な状況は知らない。 SVG が使えない昔の IE に対応する必要があって、しかもベクター画像形式が必要な場合くらい?
Re: (スコア:0)
vgx.dllが使われるかどうかはしらないけど、wikipediaに行けばsvg使ってるページなんか腐るほどあるよ。
Re:教えてください! (スコア:2)
それは画像の元が SVG なだけで、ウィキペディアの記事の中では、 SVG 画像をサーバー側で PNG に変換したものが使われていると思う。
Re: (スコア:0)
調べてみてやっと理解できた
なんとWindowsのデフォルト設定では拡張子svgがIEに関連付けされていて、IEがWindowsの正式なsvg表示コンポーネントになっていたとは........
とりあえずの対症療法としてsvgは別のソフトに関連付けしておくか
Re: (スコア:0)
とりあえずInkscapeをインストールしてsvgの関連付けを変えた
vgx.dllはマシンをPuppy Linuxでブートしなおしてから削除する予定(別のアプリケーションの動作に支障が出たら元に戻すかもしれないが)
Re: (スコア:0)
SVG≠VMLなのでは?
Re: (スコア:0)
IE11まで影響受けるのは古いドキュメントモードでまだVMLをサポートしてるからで、IE9以降のSVG実装はvgx.dllを使っていないはず。
Re: (スコア:0)
脆弱性の詳細がよくわからんからはっきりとしたことは言えないけど,
Webサイトから突ける脆弱性だったら全く意味がない
Re: (スコア:0)
「ベクタ画像」でひとくくりにしている元質問がおかしすぎるだけで(「素人なので」と予防線を張ってはいるが)、VMLが影響受けるからってベクタ画像が何でもかんでも影響受けるわけじゃないよ。
むしろVMLは太古のIE5時代から引きずっている遺物だからいつまでたっても脆弱性がなくならないと見るべき。MSの製品は新しいほどものどんどんセキュリティへの配慮が増して安全になってる。
Re: (スコア:0)
> とりあえずの対症療法としてsvgは別のソフトに関連付けしておくか
それ意味ないよ。
拡張子の関連づけとMIMEタイプは別物(だからこそ拡張子偽装という芸当ができる)。
Re: (スコア:0)
Explorer Canvasで8以前のIEに対応しているサイト、とか?
Re: (スコア:0)
攻撃者がブラウザを乗っ取ろうとするとき。
誰も使いもしない機能を実装するなってことだよ。TLSのHeartbeat拡張とか。
Re: (スコア:0)
拡大縮小してもジャギが出ない特性は今の時代こそ必要に
ならないなぁ
IE以外のブラウザを使えば良い (スコア:0)
とは言ってもWindowsはIEと一蓮托生だしなあ。explorer使ってると思ったら実はみたいな。IEアップデートだけでOS再起動がなぜあんなにあるのか
Re: (スコア:0)
いや、大体の場合ファイルビューアー・ブラウザとデスクトップ環境は一蓮托生じゃないの?
ノーチラスとかコンクエラーとかもそうじゃん。
Re:IE以外のブラウザを使えば良い (スコア:2)
KDE使ってたのはちょっと前だから記憶が曖昧ですが,
konquerorもdolphinも入れなくてもKDEは使えましたよ
Windowsはexplorer.exeがウインドウマネージャを担当してたはずですけど,
KDEはkwinと言う独立したWMがあって,しかも別にkwinを使わなくても他のWMを指定すればplasmaは使えます
Gnomeは知らない
Mac OSXは3時間ぐらいしか使ってませんけど,Finderがデスクトップと一蓮托生になっているようですね
Re: (スコア:0)
iOSやAndroidにしたってブラウザエンジンを
各種アプリのHTMLやJSのコード解釈に使われてるから
OSがブラウザエンジンと密接に関わってる状況は今後も変わらんでしょう
Re: (スコア:0)
何をどう言ってもサポート切れは縁の切れ目という事になりますね
Re: (スコア:0)
信者がどうしてもそう言いたい事だけは分かる。
でもなあ、2kだってそんなにウィルス増えてないんだよ
#むしろ減ってるかも
Re: (スコア:0)
ウィルスが増えてるか減ってるかなんて気休めにもならないでしょう
致命傷は一撃くらえば死ぬんですよ?
というか、ウィルスと脆弱性は違う問題。後者のほうがはるかに怖い
Re: (スコア:0)
OpenSSLクラスが来たら致命傷だと思うけど、あんなの前触れもなく来る大地震みたいなもんだし。
クラッカーが未発見の脆弱性隠し持ってる説はどうなったんだろ?
Re: (スコア:0)
折角隠し持ってるものは、わざわざ大っぴらにしたら台無しになるわけで、こっそり使い続けるでしょう。
Re: (スコア:0)
こっそり持っている脆弱性は敵国を攻撃したり競合企業から機密情報を盗み出す場合に使います。
Re: (スコア:0)
いまこそIEradicatorの出番
IE 6~11ということは (スコア:0)
IE5以前を掘り起こしてきて使えば…(無茶)
Re:IE 6~11ということは (スコア:1)
いちおうマジレスしておくと、別ツリーでも書いたとおり古いバージョンについては脆弱性の影響を受けるかどうかの調査もされないだけ。第一修正されないで放置されてる他の脆弱性が山ほどあるんだから論外もいいとこ。
Re:IE 6~11ということは (スコア:1)
この間XP狩りを逃れるため余ってた2000のライセンスを使ってダウングレードしましたが、2000標準搭載のIE5では今どきのWebサイトはろくに表示できません。WindowsUpdateもできず、Lynxと大差ないくらい。もちろんオフラインユースなのでリスクはほぼないんですけどね。
Jubilee
Re: (スコア:0)
古いIEの脆弱性にまで対応しないといけないなんて悪質サイトの中の人も大変ですね
中の人「だから古いIEが捨てられない!」
Re: (スコア:0)
今でもWin98を無防備にネットへつなぐと瞬時に感染するわけで、その程度の古さで安全になると思ったら本気で大間違い。
いや,そのタイトルはちょいと正しくないんじゃないかな (スコア:0)
「無料で受けられる」サポートは無いだけで,マイクロソフトは今でも対応はしてるんじゃないかな.
確か,イギリスやオランダ? の政府機関をはじめ,結構な数の組織が Windows XP のサポートを今でも有料で受けているはず.
契約者以外にはそうした情報が出てこないからそう見える,というだけじゃないかな.
それこそ誤解のもと (スコア:1)
IBM OS/2 [geocities.jp] だって2007年以後も大企業向けに限定サポートがしばらく続けられていたが、公式にはサポート終了。表に出てこないサポートはないも同然なんだよ。
ま、#2590474 [srad.jp]にあるリンク先によると、今のところ IE8 以上でゼロディ攻撃が確認されているようなので、Windows XP の IE6 向けに FixIt くらいは当然提供されていると思うけど、マイクロソフトのセキュリティアドバイザリには一切記載されない。
モデレータは基本役立たずなの気にしてないよ
Re:それこそ誤解のもと (スコア:1)
英政府、Windows XPの有料サポートを550万ポンドで契約 [srad.jp](実際はオランダ政府もという話もある)
中国内で行われている独自サポート [srad.jp]
割と最近の話だから周知かとリンクもしなかったけど、これらの表には出てこないXPサポートについての憶測だ。気にするな。
モデレータは基本役立たずなの気にしてないよ
いいぞ、もっとやれ (スコア:0)
XPを撲滅するのだ
Re: (スコア:0)
そんなことやれば、マイクロソフトの陰謀論を恥ずかしげもなく主張する輩が出てくるぞ