【恥】IE6・IE7・IE8・IE9にあるXML絡みの情報漏洩の脆弱性は修正予定なし
http://gigazine.net/news/20130607-ie6-ie9-vulnerability/ IEファミリーの中でIE10へのユーザ移行は着実に進んでいるようですが、本日、IE6〜IE9に情報漏洩の脆弱性が
明らかになりました。この脆弱性は修正される予定がないとのことで、脆弱性情報とその対策を提供しているJVN
では、該当するユーザに対してIE10へのアップグレードを推奨しています。
Internet ExplorerはXMLファイルの取り扱いに問題があるため、細工されたXMLファイルをローカルファイルとして
開いたときに、別のローカルファイルの内容が漏洩する可能性があるとのこと。
これは、ユーザが「XMLファイルをローカルファイルとして開く」という操作をしない限りは攻撃が成立しないため、
ユーザ関与の評価値は「中」となっていますが、インターネット経由での攻撃が可能で、また攻撃時に認証が必
要なく、専門知識がなくても攻撃ができることから、危険性はかなり高いと評価されています。
対応策としては「ローカルディスク上に信頼できないファイルを保存しない」ことで影響を軽減することができます
が、Microsoftではこの脆弱性についていずれのIEでも修正する予定はないとのこと。このタイミングで脆弱性が
発覚し、しかもMicrosoftが対応しないというのは、移行を促すための策ではないのかという気がしてしまいます
が、Windows 7以降・Windows Server 2008 R2以降のWindowsを使用している人は速やかにInternet Explorer 10
へアップグレードしておいた方が安全です。
なお、つい先日の調査結果によるとIE6のシェアが6.03%、IE7のシェアが1.78%、IE8のシェアが22.99%、IE9のシェ
アが15.39%とのことなので、影響範囲はかなり広範囲になりそう。
もうローカルファイルにあるXMLは開けないな!
>>1 【マジキチ】【恥】 アップル、iPad、iPod全機種大幅値上げ(笑) 【金の亡者】【ゲロ以下】..【ちん毛】
・iPad (4th generation) with Wi-Fi/128GB 66,800円ー>79,800円
・iPad (4th generation) with Wi-Fi/64GB 58,800円ー>69,800円
・iPad (4th generation) with Wi-Fi/32GB 50,800円ー>59,800円
・iPad (4th generation) with Wi-Fi/16GB 42,800円ー>49,800円
・iPad (4th generation) with Wi-Fi + Cellular/128GB 77,800円ー>93,800円
・iPad (4th generation) with Wi-Fi + Cellular/64GB 69,800円ー>83,900円
・iPad (4th generation) with Wi-Fi + Cellular/32GB 61,800円ー>73,800円
・iPad (4th generation) with Wi-Fi + Cellular/16GB 53,800円ー>63,800円
・iPad 2 with Wi-Fi/16GB 34,800円ー>39,800円
・iPad 2 with Wi-Fi + 3G/16GB 45,800円ー>53,800円
・iPad mini/64GB with Wi-Fi 44,800円ー>52,800円
・iPad mini/32GB with Wi-Fi 36,800円ー>42,800円
・iPad mini/16GB with Wi-Fi 28,800円ー>32,800円
・iPad mini/64GB with Wi-Fi + Cellular 55,800円ー>66,800円
・iPad mini/32GB with Wi-Fi + Cellular 47,800円ー>56,800円
・iPad mini/16GB with Wi-Fi + Cellular 39,800円ー>46,800円
・iPod touch (5th generation)/64GB 33,800円ー>39,800円
・iPod touch (5th generation)/32GB 24,800円ー>29,800円
・iPod nano (7th generation)/16GB 12,800円ー>14,800円
・iPod Shuffle (4th generation)/2GB 4,200円ー>4,800円
・iPod classic 160 GB (End 2009) 20,900円ー>24,800円
http://store.apple.com/jp/browse/home/shop_ipad
>>1 【世界最弱】MacBookのバッテリーに脆弱性、マルウェアで機能停止や過熱も 【何時でもアップルボム】
アップル MacBook / Pro / Air のバッテリーにOS側から悪用可能な脆弱 性を発見しました。
ノートPCのバッテリーパックには充放電管理のためコントローラチップが組み込まれていますが、
このコントローラへのアクセスに共通のパスワードが使われており、ファームウェアをOS側から
容易に書き換えられる。
ファームウェアを改竄することでバッテリーを二度と使用不能にすることを始め、
ソフトウェアのセーフティ機構を無効化 して過熱や発火を招いたり、
原理的にはウィルスなどをバッテリー側からOS側に感染させ、ノート側のHDDを換装して
もフラッシュメモリを再フォーマットしても消えないマルウェアといった攻撃も考えられるとしています。
今回の手法はアップルがリリースしたバッテリー関連 のアップデートを解析して発見したもの。
アクセスに必要な2つのパスワードが決め打ちで含まれていたことから、
リ バースエンジニアリングによりバッテリー側ファームウェアとOSとの通信を改ざんしたり、
完全にファームウェアを書き 換える方法までを解明した。
http://japanese.engadget.com/2011/07/23/macbook/
>>1 【嫌われたアップル】去年の「iPhoneショック」で部品メーカーが避けるように【エンガチョ】
http://ascii.jp/elem/000/000/795/795064/ 部品メーカーの「アップル離れ」が加速中 2013年06月05日
米アップルへの過度な依存を見直す動きが出ている。日本の部品メーカーをはじめ、
これまでアップル経済圏で活動してきた企業が徐々に距離を置き始めている。
2013年第1四半期(1〜3月)のスマートフォンの世界出荷台数は、前年同期比41.6%増の2億1620万台。
メーカー別の出荷台数ではサムスンが7070万台と圧倒的で、2位アップルの3740万台を大きく引き離した。
2012年末以降、iPhone向け部品の受注が減速してパートナー各社の業績に影響を与えた
「アップルショック」を教訓に、新たな受注先の開拓に奔走してきた。
ソニー、東芝、日立製作所の子会社3社が合併した中小型ディスプレー専門企業のジャパンディスプレイは6月3日、
千葉県茂原市の同社茂原工場内にスマートフォンやタブレット向けの高精細ディスプレーを生産する新ラインを立ち上げた。
同社は主要取引先のアップルのほか、中国ファーウェイをはじめとしたアンドロイド陣営への液晶パネルの提供も行い新たな取引先の拡大を狙う。
また、電子回路基板の製造や販売を手掛けるメイコーが5月21日に発表した2013年度の経営方針によると、
中国湖南省にある同社武漢第二工場では 中華・アジア系スマートフォンメーカ向けにプリント基板を提供する構えだ。
同工場での2013年度の売上高は228億5900万円を見込んでいる。
EMS(受託生産製造サービス)の世界最大手の台湾ホンハイは、
米国のモジラ財団と提携して「Firefox OS」を同載したスマートフォンを開発すると発表。
これまでアップルと蜜月の関係にあった同社が、iOSやアンドロイドに加え、第三極のOSと提携することで、
アップルへ一極集中することによる経営リスクを回避すると見る向きもある。
サムスンは「ギャラクシーS4」をはじめ、スマートフォン市場での優位性を高めるため、取引先の囲い込みに力を入れる。
アップルを中心に経済圏を成立させていたパートナー企業の勢力図は大きく変わることが予想される。
【マイクロソフトボム】Internet Explorerの脆弱性 修正せず
http://www.itmedia.co.jp/enterprise/articles/1306/07/news057.html 情報処理推進機構とJPCERT コーディネーションセンターは6月7日、Microsoft Internet Explorer(IE)に関する
脆弱性情報を発表した。細工されたXMLファイルをローカルファイルとして開くことで、別のローカルファイルの
内容が漏えいする恐れがあるという。
それによると、脆弱性はIE 6〜9に存在する。現時点で最新版のIE 10は初期出荷版で解決されているため、
影響を受けないとしている。
Windows 7以降もしくはWindows Server 2008 R2以降のユーザーは、IE 10へのアップグレードで対策を講じられる。
だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。
だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。
だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。
だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。
だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。
治す気無いんなら、せめて葬式出してやれよ
IE9は腐った牛乳ってやつですね
別に大した問題じゃないんだろ?
あげ
12 :
名無しさん@お腹いっぱい。:2013/06/28(金) 11:45:06.09 ID:2xMLe1ca
この件に関する詳しい人からの情報キタ━━━━━━━(゚∀゚)━━━━━━━!!!!! 物知らずのマカー涙目www
IE6総合 Part.18
http://toro.2ch.net/test/read.cgi/win/1331339551/349-353 349 名前:名無し~3.EXE [sage] 投稿日:2013/06/08(土) 18:48:36.58 ID:Lt1FvF3n
>Internet ExplorerはXMLファイルの取り扱いに問題があるため、細工されたXMLファイルをローカルファイルとして開いたときに、別のローカルファイルの内容が漏洩する可能性があるとのこと。
>これは、ユーザが「XMLファイルをローカルファイルとして開く」という操作をしない限りは攻撃が成立しないため、ユーザ関与の評価値は「中」となっていますが、
>インターネット経由での攻撃が可能で、また攻撃時に認証が必要なく、専門知識がなくても攻撃ができることから、危険性はかなり高いと評価されています。
まぁ怖いw
でも*.xmlをわざわざPCに保存してしかもその後ブラウザで開くって状況もまず有り得ないですね
そもそも*.xmlなんて一般人が見ても意味がわからないだろうし、
一般人じゃ無ければ細工されてるってソースの時点で一発で気付けるだろうしね
という事で対処(対策では無い)としては…
[コントロールパネル]→[フォルダオプション]→[ファイルタイプ]
その中の下の方にある「XML XML ドキュメント」を選択、
[変更]をクリック、[Notepad(もしくはメモ帳)]を選択、[OK]→[適用]→[OK](日常的にXMLを使ってる方向け)
もしくは
[削除]→[はい]→[適用]→[OK](日常的にXMLを使って無い方向け)
で大丈夫かと思われます
どうせ*.xml単体をブラウザから見る奇特な人なんていないでしょ?見る意味も必要も無いし
351 名前:名無し~3.EXE [sage] 投稿日:2013/06/08(土) 19:20:43.23 ID:Lt1FvF3n
>>350 もちろん自分が愛用してる好きなテキストエディタでもメモ帳でも全く問題無いですよ|ω゚)ノ
353 名前:名無し~3.EXE [sage] 投稿日:2013/06/08(土) 20:16:30.95 ID:Lt1FvF3n
>>352 そもそもXML Notepad 2007を使用している場合、自動的に*.xmlはXML Notepadに関連付けされるので
>>348は問題ありませんし、根本的に
>>349を行う必要は無いですね
13 :
名無しさん@お腹いっぱい。:2013/06/28(金) 11:47:06.73 ID:2xMLe1ca
あとマカーってXML見る時ってわざわざブラウザから開くんだ?www
Mac(失笑)はまともなフリーソフト無くて大変ねwww
14 :
名無しさん@お腹いっぱい。:2013/06/28(金) 12:22:25.60 ID:dMIZtNew
15 :
名無しさん@お腹いっぱい。:2013/06/28(金) 12:24:32.43 ID:dMIZtNew
16 :
名無しさん@お腹いっぱい。:2013/06/28(金) 12:28:33.12 ID:dMIZtNew
#sublimetext2インライン変換を可能にする方法がググってね。
unicode以外が文字化けするもの同じやり方で治せるからそれもググてくれ
Windowsがもう開発環境だと足の引っぱりあいで時代遅れって感じだだが
Macにいちゃもん付けてる段階で負けてますよ。
出、出たー!マカー怒りの三連投wwwwwwwwww
これぞマカー(失笑)ですわ
XMLファイルをキャッシュさせて、キャッシュへのURLを開かせる、って感じか?
赤く膨らむ空気脳
20 :
名無しさん@お腹いっぱい。:2013/07/01(月) 13:42:52.86 ID:oVlLwOl6
WindowsのシステムレベルでのXML導入は独創的では無いものの歴史的偉業なので支持する
あげ
アラビア語の文字列でアプリがクラッシュ、iOSとMac OS Xに問題発覚
www.itmedia.co.jp/enterprise/articles/1308/30/news034.html