【セキュリティ】IEに任意のコードを実行される脆弱性--攻撃コードも確認(10/12/14)
1 : ◆amidaMovTg @あみだくじψ ★:
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は
12月14日、Microsoftが提供するウェブブラウザ「Internet Explorer」に任意のコードが実行される脆弱性が
確認されたと「Japan Vulnerability Notes(JVN)」で発表した。この脆弱性を使用した攻撃コードが確認されている
という。
Internet Explorerのバージョン6、7、8に、mshtml.dllライブラリのCSS (Cascading Style Sheets) 処理に起因する
解放済みメモリ使用(use-after-free)の脆弱性が存在する。悪用されると、細工されたHTMLドキュメントを閲覧した
場合に、ユーザーの権限で任意のコードが実行される可能性がある。
現時点ではMicrosoftから対策方法は公表されていない。JVNでは脆弱性の影響を軽減する方法として、
「DEP(Data Execution Prevention)を有効にする」「[インターネット] ゾーンのセキュリティ設定を『高』にする」
「アクティブスクリプトを無効にする」ことを挙げている。
http://japan.cnet.com/news/business/story/0,3800104746,20424089,00.htm
12月14日、Microsoftが提供するウェブブラウザ「Internet Explorer」に任意のコードが実行される脆弱性が
確認されたと「Japan Vulnerability Notes(JVN)」で発表した。この脆弱性を使用した攻撃コードが確認されている
という。
Internet Explorerのバージョン6、7、8に、mshtml.dllライブラリのCSS (Cascading Style Sheets) 処理に起因する
解放済みメモリ使用(use-after-free)の脆弱性が存在する。悪用されると、細工されたHTMLドキュメントを閲覧した
場合に、ユーザーの権限で任意のコードが実行される可能性がある。
現時点ではMicrosoftから対策方法は公表されていない。JVNでは脆弱性の影響を軽減する方法として、
「DEP(Data Execution Prevention)を有効にする」「[インターネット] ゾーンのセキュリティ設定を『高』にする」
「アクティブスクリプトを無効にする」ことを挙げている。
http://japan.cnet.com/news/business/story/0,3800104746,20424089,00.htm
|
|
|
2 :名無しさん@お腹いっぱい。:2010/12/14(火) 23:16:12 ID:???
IEってゴミだな
3 :名無しさん@お腹いっぱい。:2010/12/15(水) 08:40:17 ID:???
> ユーザーの権限で任意のコード
> DEP(Data Execution Prevention)を有効にする
> DEP(Data Execution Prevention)を有効にする
4 :名無しさん@お腹いっぱい。:2010/12/15(水) 21:38:44 ID:???
>脆弱性の影響を「軽減」する方法
5 :名無しさん@お腹いっぱい。:2010/12/16(木) 01:03:12 ID:???
米Apple社が「最も脆弱性報告の多い企業」に
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている
http://wiredvision.jp/news/201007/2010072321.html
米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。
Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている
6 :名無しさん@お腹いっぱい。:2010/12/16(木) 01:23:56 ID:???
Windowsのほぼすべてのバージョンに権限昇格の脆弱性、実証コード公開される
http://internet.watch.impress.co.jp/docs/news/20101125_409236.html
Windowsにおける権限昇格の脆弱性を実証するコードが公開されたことを、Internet Storm Center(ISC)のブログで報告した。
Windows 7/Vista/XP、Windows Server 2008など、Windowsのほぼすべてのバージョンにこの脆弱性が存在するとしている。
http://internet.watch.impress.co.jp/docs/news/20101125_409236.html
Windowsにおける権限昇格の脆弱性を実証するコードが公開されたことを、Internet Storm Center(ISC)のブログで報告した。
Windows 7/Vista/XP、Windows Server 2008など、Windowsのほぼすべてのバージョンにこの脆弱性が存在するとしている。
>>5
>今回の結果は、Apple社のソフトウェアが実際に安全性が最も低いということを意味しているわけではない。
>この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
8 :名無しさん@お腹いっぱい。 :2010/10/14(木) 10:00:36 ID:???
それに対してWindowsは
> 16件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」レベルとなっているのは、IE用の累積的な
>更新プログラム(MS10-071)とWindows Media Playerネットワーク共有サービスの脆弱性(MS10-075)、
>Embedded OpenTypeフォントエンジンの脆弱性(MS10-076)、.NET Frameworkの脆弱性(MS10-077)に
>対処した4件となる。いずれも悪用可能性指標は最大値の「1」にランクされ、安定した悪用コードが出現する
>可能性も高い。
MacよりWindowsのほうが危険だということが証明されました。
真実を受け止められないMS信者
どれだけ調教されてるんだよw
>今回の結果は、Apple社のソフトウェアが実際に安全性が最も低いということを意味しているわけではない。
>この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
この報告書では、脆弱性の深刻度は考慮されていないからだ。
8 :名無しさん@お腹いっぱい。 :2010/10/14(木) 10:00:36 ID:???
それに対してWindowsは
> 16件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」レベルとなっているのは、IE用の累積的な
>更新プログラム(MS10-071)とWindows Media Playerネットワーク共有サービスの脆弱性(MS10-075)、
>Embedded OpenTypeフォントエンジンの脆弱性(MS10-076)、.NET Frameworkの脆弱性(MS10-077)に
>対処した4件となる。いずれも悪用可能性指標は最大値の「1」にランクされ、安定した悪用コードが出現する
>可能性も高い。
MacよりWindowsのほうが危険だということが証明されました。
真実を受け止められないMS信者
どれだけ調教されてるんだよw