米国土安全保障省、IEを利用しないよう警告 82
ストーリー by hylom
あれはエクスプローラじゃ無くてインターネットや 部門より
あれはエクスプローラじゃ無くてインターネットや 部門より
先日、Internet Explorer 6~11に新たな脆弱性が発見されたが、これを理由に米国度安全保障省のコンピュータ緊急対応チーム(US-CERT)がIEを使わないよう警告する事態となっている(AFPBBニュース)。
なお、この件を報じたMSN産経ニュースの記事タイトルが当初『「エクスプローラー使うな」と警告 米国土安全保障省 ハッカー攻撃の危険』だったため(すでに記事タイトルは修正されている)、多くのツッコミが寄せられる事態にもなっている(Togetterまとめ、はてなブックマーク)。
あいかわらずだなあ (スコア:4, 参考になる)
タレコミにリンクがないですが、US-CERTの警告とやらは、以下のページですかね。
http://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-Inte... [us-cert.gov]
US-CERT is aware of active exploitation of a use-after-free vulnerability in Microsoft Internet Explorer. This vulnerability affects IE versions 6 through 11 and could allow unauthorized remote code execution.
US-CERT recommends that users and administrators review Microsoft Security Advisory 2963983 for mitigation actions and workarounds. Those who cannot follow Microsoft's recommendations, such as Windows XP users, may consider employing an alternate browser.
「ユーザや管理者は、Microsoftのアドバイザリにある緩和策をよく読んでね。Windows XPユーザなど、Microsoftの推奨に従えない場合は、他のブラウザを利用することを検討してもいいかもね(may consider)」
ごくごく普通の勧告ですね。
Re: (スコア:0)
まあ普通に読めば「Windows XPを捨てろ」なんですけど、なぜか世間の反応は「IEを捨てろ!」の方向になってしまっています。
Apache Strutsの脆弱性などとかぶったこと、ゴールデンウィークでIT企業が手薄な時期だったことが原因ですかね。
うちに出入りしているIT企業さんも、「御社ではIEの対応はどうされますか。別のお客さんから色々言われてまして。うちも公式には休みなので、すぐに対応できる人員が確保できるかどうか。」と朝から電話をかけてきました。
もちろん、「IEの脆弱性なんていつものことでしょ。何騒いでるの。」で済ませましたが。
Re: (スコア:0)
普通に読んでXPを捨てろなのですか?
MSのアドバイザリに添えないXPユーザなどは、別ブラウザにすることを検討という意味ですから、IEを捨てろの方が近いと思いますよ。
Re: (スコア:0)
あー、言葉不足ですね。そういうことではなくて、世間的にはなぜか7や8.1も含めてIEを捨てろという方向になっているところがあるよ。という意味です。
http://www.fireeye.com/blog/ (スコア:0)
最初に報告したFireeyeのブログでは、
IE6からIE11に脆弱性はあるにはあるが、発見された時点でIE9からIE11が真っ先にターゲットになっているのだから、WindowXPの名前を最初に出す方がおかしい
IE9からIE11はVista以降のOS、7や8や8.1も対象となっておりますが?
Re:http://www.fireeye.com/blog/ (スコア:1)
ちゃんと読んだ?
脆弱性がIE6から11に存在するのはその通りだけど、11では攻撃を回避できるってことに注目して欲しい。
古いものは捨てろってこった。
Re: (スコア:0)
> まあ普通に読めば「Windows XPを捨てろ」なんですけど、
どこを、どのように普通に読めば「Windows XPを捨てろ」と読めますか?
普通じゃなくて現実歪曲メソッドで読めば、そういうように読めるルートもあります。
> Apache Strutsの脆弱性などとかぶったこと、ゴールデンウィークでIT企業が
> 手薄な時期だったことが原因ですかね。
たぶん、関係ないです。
単純にMSが出してるアドバイザリーを全然読まない人が多いからじゃないでしょうか。
または、OpenSSL、Apache Strutsと連続するIT関連のセキュリティ問題の報道が流行ってるのかも。
> うちに出入りしているIT企業さん
Re: (スコア:0)
IE9からIE11が真っ先に対象になっているのに、現在進行形のzero-dayそっちのけでXPの名前を出す不思議
Re: (スコア:0)
FireEye が確認したのが IE9~11を対象にした攻撃というだけで、それしか攻撃がないといっているわけではない。見つかっていないだけの可能性もある。
そしてこの脆弱性に対するセキュリティアドバイザリがXPには出ない事とXP利用者が多い事が、zero-dayそっちのけで「XP」の名前が出ている理由だろう。今のところ一般には永遠の脆弱性なので。
MSN産経が悪いのかな。 (スコア:2)
>なお、この件を報じたMSN産経ニュースの記事タイトルが当初『「エクスプローラー使うな」と警告 米国土安全保障省 ハッカー攻撃の危険』だったため(すでに記事タイトルは修正されている)、多くのツッコミが寄せられる事態にもなっている。
MSN産経は、(共同)と書いてあるので、ちょっと確認してみたんですが
中日さんも「エクスプローラー使用に警告 米国土安全保障省」と書いてますね。
ひょっとしたら共同の配信自体がエクスプローラーと書かれていたのかも。
http://www.chunichi.co.jp/s/article/2014042801002407.html [chunichi.co.jp]
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re: (スコア:0)
偏向報道も何も共同通信の配信記事をそのまま流しただけであって別に中身を気にしてはいない。
Re: (スコア:0)
協業企業がからめば報道内容に手心を加えるべきだとでもいうのですか?
偽Google Chrome被害発生 (スコア:2, 参考になる)
「IEは禁止。Google Chromeを使え」という指令が出るところが多いらしいけれど、Yahoo!で「Google Chrome」を検索すると、偽Google Chromeをダウンロードさせるリンク掲載ページが表示されるので最注意!
VirusTotalで調べた結果はこちら [virustotal.com]です。
この投稿をした時点で、まだYahoo!の検索結果に広告として表示されるので、かなりやばそう。
Re:偽Google Chrome被害発生 (スコア:1)
ユーザ権限絞ってても比較的入るからじゃない?
US-CERTがIEを使わないよう警告 (スコア:1)
至極当然の反応だと思っていたけど・・・
Microsoft Internet Explorer Use-After-Free Vulnerability Guidance [us-cert.gov]
「IE 以外のブラウザを利用を検討しろ」というのは、Windows xp 使いに言っているのね。
# いつも誤字脱字でコメント数を稼ぐ編集者が他人の記事を面白おかしく紹介できるのか
モデレータは基本役立たずなの気にしてないよ
MS曰く、「今回特別に XP にもセキュリティパッチ出すよ」 (スコア:1)
お花畑の日記 [srad.jp]経由The Official Microsoft Blog [technet.com]
こういう例外措置はよくないんじゃないか・・・
# Firefox 28 for Windows 8 より
モデレータは基本役立たずなの気にしてないよ
違う (スコア:0)
確かに潜在的にはIE6からIE11の広範囲に脆弱性はあるけど、最初に報告されたのがIE9からIE11なのを無視して、XPざまーみろとか言ってる場合じゃないと思いますが
は? (スコア:1)
>最初に報告されたのがIE9からIE11なのを無視
それは FireEye が報告しているフィッシングメールを使った標的型攻撃の話 [hatena.ne.jp]で、ついでにいえばこいつは Flash の脆弱性も組み合わせている。あくまで攻撃バリエーションのひとつにすぎない。
ちなみに今日のコメントは、 Build identifier: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0 を使っている。「XPざまーみろ」とか意味わかんない。
# 隣で環境構築中の OS/2 では Firefox 4 が動いているのは内緒
モデレータは基本役立たずなの気にしてないよ
Re:は? (スコア:1)
当然それはあるよね。
しかしすでに攻撃が明らかになっている以上、潜在的な脅威を考慮して IE の使用を控えるというのは至極もっとも。
まさか脆弱性を利用したアタックが IE9 以上をターゲットにしているから IE8 の俺には関係ないと思っているなら、寝言は寝て言えだ。
# いや XP を使っている時点で俺も同レベルだなw
モデレータは基本役立たずなの気にしてないよ
Re:は? (スコア:1)
>まさか脆弱性を利用したアタックが IE9 以上をターゲットにしているから IE8 の俺には関係ないと思っているなら、
これは# 2591638 [srad.jp]に対して。
# AC 相手だと複数いることを忘れちゃうな。
モデレータは基本役立たずなの気にしてないよ
GUIでVGX.DLLの登録と解除ができるソフトウェア (スコア:1)
「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開
http://japan.cnet.com/news/service/35047268/ [cnet.com]
Re: (スコア:0)
これ、信用しても大丈夫なソフトでしょうか?
#情報収集中
Re: (スコア:0)
Re: (スコア:0)
それは信用しても大丈夫な方法でしょうか
# 堂々巡り
Re:GUIでVGX.DLLの登録と解除ができるソフトウェア (スコア:1)
UACが、レジストリを仮想化してるせいでしょうか。
Windows恒例の「後方互換性が」ってやつですねえ。
そーゆー事はregsvr32のmanifestを見てから言え
>sigcheck.exe -m -q c:\windows\system32\regsvr32.exe
c:\windows\system32\regsvr32.exe: Verified: Signed
Signing date: 12:17 2009/07/14
Publisher: Microsoft Windows
Description: Microsoft(C) Register Server
Product: Microsoftョ Windowsョ Operating System
Prod version: 6.1.7600.16385
File version: 6.1.7600.16385 (win7_rtm.090713-1255)
MachineType: 64-bit
Manifest:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!-- Copyright (c) Microsoft Corporation -->
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="5.1.0.0"
processorArchitecture="amd64"
name="Microsoft.Windows.RegSvr32"
type="win32"
/>
<description>Microsoft Register Server</description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
processorArchitecture="amd64"
language="*"
/>
</dependentAssembly>
</dependency>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel
level="asInvoker"
uiAccess="false"
/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>
このタイミングでFirefox 29 (スコア:0)
このタイミングでUIを大幅刷新したFirefox 29がリリースされたわけですが、Firefoxにとって吉と出るか凶と出るか。
今回のUI変更は正直に言ってChromeの物真似なので、「Chromeと同じならFirefoxは不要」とか「FirefoxはChromeの後追い」という印象を与えるとまずい気がします。
「タイミングよく29か、よし使ってみるか」ってユーザがたくさんいるといいですね。
Re:このタイミングでFirefox 29 (スコア:2)
Chromeがメモリ食いなので32bitOSな環境では最近はFirefox使ってます。
メモリ消費はFirefoxが酷かった記憶があるけど、いつの間に逆転したんだろう
Re:このタイミングでFirefox 29 (スコア:1)
「Firefoxが無駄に消費しているメモリの正体が突き止められる」 http://srad.jp/story/11/08/11/079226/ [srad.jp]
以降とか?これの次回リリース以降くらいから地味に減った感がある。
自分の使い方だとそんなにFirefoxが酷いと思ったことはないが、
大量のタブを開いて半永久的に開き続けてる人なんかだと厳しいこともあったようだ。
一方のChromeは最初からメモリ食いな富豪的プログラミングが設計思想だった希ガス。
#富豪向けすぎるよなあ。
Re:このタイミングでFirefox 29 (スコア:1)
>このタイミングでUIを大幅刷新したFirefox 29がリリースされたわけ
ああそうなの、大変ね。Firefox 24 ESR 使いでよかったよ。
# Dev snapshot of Firefox 24.3.0 for OS/2 [github.com]を心待ちにしているのでID
モデレータは基本役立たずなの気にしてないよ
Re:このタイミングでFirefox 29 (スコア:1)
知り合いの会社では早速「Firefox使え令」が出たそうな。
ただし社内のWEBアプリだかシステムはIEで最適化されてるんでイントラ内だけはIEでOKとのこと。
うちは社内の総務とか勤労系はIEでしか認証すら通れないからかIE使うなとも使っていいよともアナウンス無し。
#連休中はシカトっぽい。
Re:このタイミングでFirefox 29 (スコア:1)
おっと聞いたことある話だぞ。
一般のニュース見て、技術的な動向考えずに命令出してるからぐだぐだだ...
Re: (スコア:0)
Firefox29のリリースノートを読むとわかりますが、大きめの脆弱性を複数直したFix版でもあるんですよね。
毎回そんなアップデートなんですが、そんなリスクの高いFirefoxを進めるよりは、EMET4.1をインストールしなさいって言ったほうがベター。
Re: (スコア:0)
> そんなリスクの高いFirefox
IEが毎月のアップデートでまとめてセキュリティ修正してるのと何も変わらないんだが
Re:このタイミングでFirefox 29 (スコア:1)
毎月の方が間隔短いでしょ(そーゆー問題ではない)
日本の政府系IT申告が全滅 (スコア:0)
日本の政府系IT申告が全滅ってわけで、フェイルセーフ全くなし。
Re: (スコア:0)
それはIEじゃなくて、Apache Strutsの脆弱性が原因では?
ということは (スコア:0)
IEがセキュアになったのかな。
オフトピだけど (スコア:0)
日本で、ウェブのことをインターネットと呼ぶ人が多いのは、ウェブブラウザのIEがインターネット・エクスプローラーと名乗ったせいだと思う。
日本で、ウェブサイトのことをホームページと呼ぶ人が多いのは、ウェブページ作成ツールがホームページビルダーと名乗ったせいだと思う。
Re:オフトピだけど (スコア:2)
なんてこった。モザイクがもう少し流行っていれば...
Re: (スコア:0)
妄想を続けると、
モザイクが日本で大流行。
ほぼ全部のコンピューターで使われるまでなる。
ある日、モザイクに非常に危険な問題が見つかる。
日本政府、モザイク使用禁止を通達する。
AVのモザイクも外れる。
Re:オフトピだけど (スコア:1)
モザイクではなくボカシやクロヌリの利用が推奨されてしまうかも知れない。
Re:オフトピだけど (スコア:2)
Re:オフトピだけど (スコア:2)
パソコンのディスプレイにバターを塗って、黒塗りを剥がそうとする少年が…
#過去の私じゃない!
Re: (スコア:0)
IEはftpも読めるし…。
パッチは5月7日に出る? (スコア:0)
みんな6日まで休みだから、日本の会社は大丈夫だね。
と、わざと言ってみる。
ハッカー (スコア:0)
もう「ハッカー」には誰も文句つけないのかな
Re:ハッカー (スコア:2, おもしろおかしい)
文句つける人が
大勢いますよ。
言わないだけです
Re: (スコア:0)
1) 「ハッカー」じゃなければ、何と呼べば良いの?
2) その言葉は、ITに詳しくない一般市民が聞いて理解できるの?
という問いに答えられないので、口を噤んでいるだけです。
今更「クラッカー」って言い換えてみても、「ああ、ハッカーのことね。」って
返されるだけだからなぁ……。
Re:ハッカー (スコア:1)
1) ミント
2) お年寄りはわからないかも
Re: (スコア:0)
ITに詳しくない一般市民が理解できなくても知ったこっちゃない。
でも、日本だけの誤用でもなく英語でもハッカーって言われてるし
いちいち指摘するのも徒労感が伴いますね。