【セキュリティ】独仏政府がIEの利用中止を勧告、「攻撃は限定的」とMSが反論(10/01/19)
Google攻撃に使われたInternet Explorer(IE)の脆弱性悪用コードが公開された問題で、ドイツとフランスの政府がIEの利用中止を
呼び掛けるなど、波紋が広がっている。これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」と
強調した。
英セキュリティ企業Sophosのブログによると、ドイツとフランスの政府はIEの未修正の脆弱性を突く悪用コードが公開されたことを
受け、この脆弱性が修正されるまで、IEは使わない方がいいと呼び掛けた。IEに代わる代替ブラウザの利用を促しているという。
一方、Microsoftはセキュリティ対策センターのブログで1月17日、これまでに確認されたのは「少数の企業に対する極めて限定的な
数のターゲット型攻撃」にすぎないと説明。公開されたコンセプト実証(PoC)コードも含めて、現時点で確認されている攻撃コードは
IE 6に対してしか通用せず、IE 7とIE 8に対する攻撃が成功した事例は確認されていないとしている。
ただし、今後状況が変わる可能性もあるため、引き続き警戒を続けると表明。IE 6と7のユーザーはできるだけ早く、セキュリティが
強化されたIE 8にアップグレードしてほしいと勧告している。
http://www.itmedia.co.jp/news/articles/1001/19/news021.html
呼び掛けるなど、波紋が広がっている。これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」と
強調した。
英セキュリティ企業Sophosのブログによると、ドイツとフランスの政府はIEの未修正の脆弱性を突く悪用コードが公開されたことを
受け、この脆弱性が修正されるまで、IEは使わない方がいいと呼び掛けた。IEに代わる代替ブラウザの利用を促しているという。
一方、Microsoftはセキュリティ対策センターのブログで1月17日、これまでに確認されたのは「少数の企業に対する極めて限定的な
数のターゲット型攻撃」にすぎないと説明。公開されたコンセプト実証(PoC)コードも含めて、現時点で確認されている攻撃コードは
IE 6に対してしか通用せず、IE 7とIE 8に対する攻撃が成功した事例は確認されていないとしている。
ただし、今後状況が変わる可能性もあるため、引き続き警戒を続けると表明。IE 6と7のユーザーはできるだけ早く、セキュリティが
強化されたIE 8にアップグレードしてほしいと勧告している。
http://www.itmedia.co.jp/news/articles/1001/19/news021.html
|
|
|
2 :名無しさん@お腹いっぱい。:2010/01/19(火) 18:16:16 ID:???
マイクロソフト セキュリティ アドバイザリ (979352)
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
>Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、Windows XP、Windows Server 2003、
>Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 6、Internet
>Explorer 7 および Internet Explorer 8 に脆弱性があることを確認しています。
なのに
>これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」
マイクロソフトの見解では多発していなければ問題ないそうですw
マイクロソフトのこういう体質が脆弱性の本質なんだよな
自衛手段としてIEの他にサブのブラウザを用意しておこう、マイクロソフトは助けてはくれない
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
>Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、Windows XP、Windows Server 2003、
>Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 6、Internet
>Explorer 7 および Internet Explorer 8 に脆弱性があることを確認しています。
なのに
>これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」
マイクロソフトの見解では多発していなければ問題ないそうですw
マイクロソフトのこういう体質が脆弱性の本質なんだよな
自衛手段としてIEの他にサブのブラウザを用意しておこう、マイクロソフトは助けてはくれない
3 :名無しさん@お腹いっぱい。:2010/01/19(火) 19:07:04 ID:???
いますぐパソコンの電源を切って逃げるんだ!
4 :名無しさん@お腹いっぱい。:2010/01/19(火) 19:14:09 ID:???
>>2
多発しているわけじゃないといっただけで、
問題がないとはいってないだろ。
多発していない例なら
FirefoxやSafariも同じことだし。
多発していないブラウザ(IEも含む)でも
脆弱性がある以上問題はある。
多発しているわけじゃないといっただけで、
問題がないとはいってないだろ。
多発していない例なら
FirefoxやSafariも同じことだし。
多発していないブラウザ(IEも含む)でも
脆弱性がある以上問題はある。
5 :名無しさん@お腹いっぱい。:2010/01/19(火) 19:52:08 ID:???
ヨーロッパの連中の僻みにしか聞こえない
6 :名無しさん@お腹いっぱい。:2010/01/19(火) 19:59:55 ID:???
>>4
>これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」と
>強調した。
マイクロソフトは「だからIEの利用を中止する必要は無い」と言いたいんだよ
仮に熱烈なIEファンだとしても一時的にIEの利用中止すべき、でも信者は信仰に殉じるw
>これに対して米Microsoftは、「一般ユーザーを狙った攻撃が多発しているわけではない」と
>強調した。
マイクロソフトは「だからIEの利用を中止する必要は無い」と言いたいんだよ
仮に熱烈なIEファンだとしても一時的にIEの利用中止すべき、でも信者は信仰に殉じるw
7 :名無しさん@お腹いっぱい。:2010/01/19(火) 20:05:10 ID:???
IEの利用を中止したところで、ほかのブラウザが狙われることがある。
今回の攻撃の特徴的なのは、一つの方法ではなく
複数の方法を利用しているということ。
つまり攻撃の手段の一つとして、ほかのブラウザに対応すると
それだけで攻撃が成功してしまう。結局大差ない。
今回の攻撃の特徴的なのは、一つの方法ではなく
複数の方法を利用しているということ。
つまり攻撃の手段の一つとして、ほかのブラウザに対応すると
それだけで攻撃が成功してしまう。結局大差ない。
8 :名無しさん@お腹いっぱい。:2010/01/20(水) 04:59:39 ID:???
マイクロソフト セキュリティ アドバイザリ (979352)
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
【概説より抜粋】
・・・この脆弱性は Internet Explorer の無効なポインター参照に存在します。
オブジェクトが削除された後でも、特定の状況で、その無効なポインターに
アクセスすることができる可能性があります。・・・
# 解放済みのオブジェクトを参照するなんて、脆弱性じゃなくて、バグだろ。(^^;
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
【概説より抜粋】
・・・この脆弱性は Internet Explorer の無効なポインター参照に存在します。
オブジェクトが削除された後でも、特定の状況で、その無効なポインターに
アクセスすることができる可能性があります。・・・
# 解放済みのオブジェクトを参照するなんて、脆弱性じゃなくて、バグだろ。(^^;
9 :名無しさん@お腹いっぱい。:2010/01/20(水) 06:24:56 ID:???
ヤバイサイトはhotjava出見るに限る
10 :名無しさん@お腹いっぱい。:2010/01/20(水) 08:09:33 ID:???
>>7
読めよ
ttp://www.microsoft.com/japan/technet/security/advisory/979352.mspx
IE以外のブラウザは削除済みのオブジェクトにアクセスしてしまうヘマはしない
読めよ
ttp://www.microsoft.com/japan/technet/security/advisory/979352.mspx
IE以外のブラウザは削除済みのオブジェクトにアクセスしてしまうヘマはしない
Safariのコード実行脆弱性を利用して、完全にパッチを適用したMacBookに侵入した。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20390270,00.htm
--なぜSafariだったのですか。IEやFirefoxでなかったのは?
簡単なことです。Mac上のSafariの方が攻撃が簡単だからです。Windows上のいくつかの技術は攻撃を成功
させるのを難しくしていますが、Macではそういうことはしていません。Mac をハッキングする方がずっと簡単です。
曲芸をして、Windows上で見られる耐攻撃措置を相手にする必要がないからです。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20390270,00.htm
--なぜSafariだったのですか。IEやFirefoxでなかったのは?
簡単なことです。Mac上のSafariの方が攻撃が簡単だからです。Windows上のいくつかの技術は攻撃を成功
させるのを難しくしていますが、Macではそういうことはしていません。Mac をハッキングする方がずっと簡単です。
曲芸をして、Windows上で見られる耐攻撃措置を相手にする必要がないからです。