パッチが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」  ウイルス対策ソフトを無料で比較 - ウイルスソフトまとめ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。



無料で使えるウイルスソフトランキング(※livedoor LISLOG調べ)





 
--/--/--(--)  | スポンサー広告

パッチが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」

マイクロソフトは2008年12月15日、Internet Explorer(IE)の新しい脆弱(ぜいじゃく)性に関する情報を更新。IE7だけではなく、IE6やIE8ベータ版なども影響を受けることを明らかにするとともに、設定変更などによる回避策を複数公開した。セキュリティ更新プログラム(修正パッチ)は依然未公開。

 米マイクロソフトや米国のセキュリティ組織・企業各社は2008年12月10日(米国時間)、IE7には、HTMLファイル処理に関する脆弱性が見つかったとして注意を呼びかけた。細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。

 実際、その脆弱性を突いた「ゼロデイ攻撃」が出現。ゼロデイ攻撃の確認により、今回の脆弱性の存在が明らかとなった。当初、攻撃は限定的だったものの、現在では広まっている模様。脆弱性を悪用するプログラム(コード)が、SQLインジェクション攻撃などにより、正規のサイトに埋め込まれる事例も複数確認されている。

 そこでマイクロソフトでは、今回の脆弱性に関する情報(セキュリティアドバイザリ)を2008年12月11日に公開。脆弱性の存在や回避策を公表した。翌12月12日には、同情報を更新して、影響を受ける製品や回避策に関する情報を追記した。

 具体的には、12月11日時点ではIE7のみが影響を受けるとしていたが、その後の調査により、現在サポート対象となっているすべてのIE――IE 5.01/6 SP1(これらはWindows 2000のみ)、IE 6、IE8ベータ版――も影響を受けることが明らかになったという。

 翌12月13日には同情報を再度更新し、回避策をさらに追加。そして2008年12月15日には、従来よりも詳細な脆弱性情報を記載するとともに、回避策のリストを増やした。

 それによると、今回の脆弱性は、IEの「データ バインディング機能」に関する脆弱性であり、HTMLファイル(Webページ)などを通じて細工が施されたデータを読み込まされると、IEを不正終了させられたり、任意のプログラムを実行されたりするという。なお、データバインディング機能はデフォルト(既定)で有効。

 同社の情報が挙げている回避策は、現時点(2008年12月15日14時)では以下の10種類。具体的な実施方法については、同社の情報を参照してほしい。


インターネット/ローカルイントラネットゾーンの設定を「高」に設定し、ActiveXコントロール/アクティブスクリプトを実行する前にダイアログを表示する
インターネット/イントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するようにする/アクティブスクリプトを無効にする
IE7のDEPを有効にする
XMLアイランド機能を無効にする
ACLを使用してOLEDB32.DLLを無効にする
OLEDB32.dllのRow Position機能を無効にする
OLEDB32.DLL の登録を解除する
ACL を使用して OLEDB32.DLL を無効にする
Windows Vista/Server 2008上のIE7でDEPを有効にする
IE8ベータ2のデータバインディングサポートを無効にする

 なお、OSやIEのバージョン、ハードウエアなどに依存する回避策もあるので、環境によっては実施できない場合がある。例えば、データバインディング機能を無効にする回避策は、IE8ベータ版(現在の最新版はベータ2)でのみ可能。

 また、回避策を実施すると“副作用”が発生する場合もあるので要注意。例えば、アクティブスクリプトを無効にすると、問題のないWebサイトでも、適切に表示あるいは操作できなくなる場合がある。

 修正パッチは未公開。マイクロソフトでは、今回の脆弱性について現在調査中としていて、調査が完了次第、適切な措置(修正パッチの公開など)を講じるとしている。



無料で使えるウイルスソフトランキング(※livedoor LISLOG調べ)





 

コメントの投稿














管理者にだけ表示を許可する


| ウイルス対策ソフトを無料で比較 - ウイルスソフトまとめ■TOP |
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。