【脆弱性】2001年からの脆弱性に修正7年、Microsoft「当時の技術には限界があった」
1 :依頼64@qqqq111ψ ★:
11月の月例パッチ「MS08-068」で対処した脆弱性は、実は2001年に報告されていた。
米Microsoftが11月11日に公開した月例セキュリティ更新プログラム「MS08-068」は、2
001年に報告されながらこれまで対処できずにいた脆弱性を解決したものだった。同社が1
1月11日のセキュリティ対策センター(MSRC)ブログで明らかにした。
問題となったのは、2001年に報告された「SMBRelay攻撃」の脆弱性。これはレガシープ
ロトコルであるNTLMの基本動作に影響するものだった。もし脆弱性修正のための変更を加
えれば、例えばOutlook 2000クライアントがExchange 2000と通信できなくなるなど、ネ
ットワークベースの多数のアプリケーションに不具合を生じさせることが避けられないと、
当時Microsoftでは判断したという。
通常、これほどの規模の問題に対処しようとすれば、Windowsの新バージョンレベルの
変更が必要になるが、Microsoftは大きな影響を与えることなく問題を解決できる方法が
ないか研究を続けた。Windows XP SP2やWindows Vistaで一部解決策を盛り込んだ後、昨
年になって、ネットワークアプリケーションに与える影響を最低限に抑えながら、SMBRel
ay攻撃問題を解決できる方法があることを発見した。
多大な時間をかけてこの方法の検証を行った後、セキュリティアップデートを開発した。
それが11日に公開した「MS08-068」のアップデートで、これによって7年ぶりに、SMBRela
y問題の修正に至ったという。
以下ソース
2001年発見の脆弱性修正に7年間、Microsoftが理由説明
http://www.itmedia.co.jp/news/articles/0811/13/news028.html
米Microsoftが11月11日に公開した月例セキュリティ更新プログラム「MS08-068」は、2
001年に報告されながらこれまで対処できずにいた脆弱性を解決したものだった。同社が1
1月11日のセキュリティ対策センター(MSRC)ブログで明らかにした。
問題となったのは、2001年に報告された「SMBRelay攻撃」の脆弱性。これはレガシープ
ロトコルであるNTLMの基本動作に影響するものだった。もし脆弱性修正のための変更を加
えれば、例えばOutlook 2000クライアントがExchange 2000と通信できなくなるなど、ネ
ットワークベースの多数のアプリケーションに不具合を生じさせることが避けられないと、
当時Microsoftでは判断したという。
通常、これほどの規模の問題に対処しようとすれば、Windowsの新バージョンレベルの
変更が必要になるが、Microsoftは大きな影響を与えることなく問題を解決できる方法が
ないか研究を続けた。Windows XP SP2やWindows Vistaで一部解決策を盛り込んだ後、昨
年になって、ネットワークアプリケーションに与える影響を最低限に抑えながら、SMBRel
ay攻撃問題を解決できる方法があることを発見した。
多大な時間をかけてこの方法の検証を行った後、セキュリティアップデートを開発した。
それが11日に公開した「MS08-068」のアップデートで、これによって7年ぶりに、SMBRela
y問題の修正に至ったという。
以下ソース
2001年発見の脆弱性修正に7年間、Microsoftが理由説明
http://www.itmedia.co.jp/news/articles/0811/13/news028.html
|
|
|
2 :名無しさん@お腹いっぱい。:2008/11/14(金) 12:51:56 ID:???
コストのかかったパッチですね
担当者 乙
担当者 乙
3 :名無しさん@お腹いっぱい。:2008/11/14(金) 13:15:19 ID:???
SMBの脆弱性だからまともなルーターでちゃんとセキュリティ設定確認してれば問題ない問題だね
4 :名無しさん@お腹いっぱい。:2008/11/15(土) 05:41:33 ID:???
じゃああえてそのパッチはインストールしないでやるw
き・・・脆弱性