パスワードを忘れた? アカウント作成
9464 story

IE6/SP2に致命的な3つの脆弱性 149

ストーリー by GetSet
深刻度高し 部門より

antiunity 曰く、 "本家/.の記事より。Secuniaによると、IE6/SP2に三つの脆弱性が発見されたとのこと。ActiveX Data Object (ADO)を通じてのセキュリティバイパスと、 クロスサイトスクリプティング、それにシステムアクセスが行われる。これによってSystem32にアクセスできるので、*.dllを消すなんてこともできる。
今のところ対策としては、ブラウザを乗り換えるしかないようだ。タレコミ人がIE6とSleipnirで実際に試したところ、本当にcmd.exeを実行されたので驚愕している。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 回避方法 (スコア:3, 参考になる)

    by mew (23987) on 2005年01月10日 0時12分 (#676289)

    タレコミのリンク先の一つにもあります [secunia.com]が、インターネット設定の変更でも回避可能だそうです。自分では怖くて試せていませんが……。

    以下当該部分のみ引用:

    Alternative workarounds:
    1) The vendor recommends that the "Drag and drop or copy and paste files" option is disabled.
    2, 3) Set security level to high for the "Internet" zone.
    • 試してみた。 (スコア:1, 参考になる)

      by Anonymous Coward on 2005年01月10日 1時49分 (#676324)
      IEコンポーネントブラウザでこれ [secunia.com]を試してみたけど、
      JavaScriptとActiveXの使用をONにしないと単にエラーが出るだけ。
      これまでの脆弱性同様、IEを捨てなくても何とかなる程度かと。
      親コメント
      • Re:試してみた。 (スコア:2, すばらしい洞察)

        by yu_raku (419) on 2005年01月10日 10時05分 (#676406)
        JavaScriptとActiveXを切るとIEを使う意味が無くなる人も結構いるんじゃないでしょうか?
        社内システムの縛りとかでIEじゃないと動かない云々言っている人にとっては、「JavaScriptとActiveXを切る」も「ブラウザを乗り換える」も大差ないように思います。

        で、私は、そんな縛りはないですし普段はIEを使っていません。
        でも、IEを使うこともあって、それはIEでしか動作しないページを閲覧する場合です。「JavaScriptとActiveXを切る」をやってしまうと、結局IEでも動作しなくなってIEを使う意味が無くなります。
        親コメント
        • Re:試してみた。 (スコア:1, 参考になる)

          by Anonymous Coward on 2005年01月10日 10時54分 (#676422)
          IE6使っててjavascriptをオフにするのはつらい. 読めないページばかりになってしまう.

          だから仕方なくIE使い続けるしかないと思ってたんだが,最近久しぶり(?年ぶり)にwebの大幅更新やって,チェックのためにOperaやFirefoxをいじったらIEとの互換性が非常に良いのに驚いた. 良かれ悪しかれIEに合わせてwebデザインをするしかなくて,昔はそんなページをOperaやNetscapeで見ると体裁が崩れてしまってどうしようもなかったんだけど. 

          今のOperaやFirefoxの出来なら,安心してIEから乗り換えられるとと思う.
          親コメント
  • by k-hello (13137) on 2005年01月10日 1時06分 (#676312)
    1月11日に3件のアップデート [microsoft.com]が予定されているようですが、
    この修正で直ってたらいいですけどね。
  • IE6/SP2 ? (スコア:2, すばらしい洞察)

    by Zepto (5428) on 2005年01月10日 9時33分 (#676393)
    IE6 SP1 の間違いじゃないかと思って元記事をよく見たら

        IE6 + WinXP SP2

    ... I see.

    ちょっと分かりにくいんじゃありませぬか?>IE6/SP2
  • IE使っていません (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年01月10日 0時09分 (#676284)
    会社で使用禁止になってますから。
    • by soeji (697) on 2005年01月10日 2時08分 (#676328)
      うちの会社の社内システムはほとんどIEでないと動いてくれません。orz
      しょうがないんで、IEはproxyの設定を空にしてイントラ専用で使ってます。
      インターネットへはFirefoxでノコノコ出かけて行ってるんですが、
      社内掲示板に張られたリンクが社外サイトだったりすると
      めんどくさくて見に行かなくなりました。
      親コメント
  • by suexec (16684) on 2005年01月10日 0時11分 (#676288) 日記
    ほとんどの人はこのようなセキュリティーホールで
    IEから他のブラウザに移る事は無いでしょうね。
    そのような事に興味が無い人がほとんどと、他はいつもの事って
    事で過去にそれほど重要な被害は無かったので安心しているかも。
    極端な話「このままIEを使っていればが生死にかかわります」って
    事があっても人は使い続けるのでしょうね。
    • Re:ブラウザを変える? (スコア:2, すばらしい洞察)

      by shn (7678) on 2005年01月10日 0時31分 (#676301) ホームページ
      興味がないつぅか、新聞とテレビしか見てなかったらそもそも情報に触れないよね。
      それは興味がある無しとは別のレイヤーの話だと思う
      親コメント
    • by Oggbi (22064) on 2005年01月10日 1時27分 (#676316)
      結局は対処されることを期待しているし,
      それを待っている間にその脆弱性にぶつかるようなことはほとんどないし,
      ブラウザを変えるという動機には「一般的には」なりえないですね。

      一般人には,機能と使いやすさと慣れの方が断然重要ですよ。

      私はそのようなことには興味がある人だけれど,頭にちょっと留めておくだけ。
      ただそれだけです。
      親コメント
      • Re:ブラウザを変える? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年01月10日 3時39分 (#676348)
        慣れが一番だと思いますねぇ あとはインストールの手間いらずな気軽さですかね。

        実際のところ「機能 使い易さ 性能」IEはどれをとっても優れているとは言えないと思います。かといって悪くもありません。
        良くも悪くもない、すなわち「普通」といったところでしょうかね。

        高性能 高機能かつ安全で高速なものを「あえて自分で探して自分で導入する」ような人はオタクだけだと思います。

        言い方を変えると、Windowsユーザーのうち「IEを使うべきか移行すべきか」と考えているユーザーは十二分にヲタです。ライトユーザーはそんな事考えもしませんし、他の選択肢があるなんて思いもよらないというわけです。
        親コメント
    • by Anonymous Coward on 2005年01月10日 2時37分 (#676334)
      いや、それでも↓こーゆーことがあるとブラウザを変えるしかないんじゃない?

      http://azoz.org/archives/200412141216.php
      親コメント
    • by NOBAX (21937) on 2005年01月10日 6時59分 (#676363)
      別のブラウザーにセキュリティホールがないのか
      といえば、単にマイナーだから発見されていない、
      悪意ある人もマイナーなソフトは相手にしない
      というだけでしょう。

      あまり問題の解決にならないような。
      親コメント
      • たとえばSecuniaに情報を提供しているクラッカーLiu Die Yu氏の(リンクは張らないけど,傘の絵のある)サイトには,Mozillaの脆弱性のページもありますから,わたしは「相手にしていない」とは思いませんが。ただMozillaにはInternet Explorerほど悪用しがいのある脆弱性が見あたらないからかもしれませんよ。
        それにIE利用者にはセキュリティに無頓着なユーザーが圧倒的に多いですから,「悪用しがいがある」「成功する確率が高い」とくれば,今後もIEの脆弱性が研究されるでしょう。NOBAXさん,これからもIEのパッチあてに精を出してくださいませ(⌒~⌒)

        # Mozilla使いだからID
        Mozilla/5.0 (OS/2; U; Warp 4.5; ja-JP; rv:1.7.5) Gecko/20041220

        親コメント
      • by tada (5086) on 2005年01月10日 12時23分 (#676447)
        十分に問題解決されていると思いますが。
        もちろん完璧ではありませんけど。

        「問題」とは、「ブラウザにバグがある」ことではなく、
        「他者にコマンドを実行されてしまう」ことです。
        親コメント
  • ではないかと。

    # そもそも、たかがブラウザごときを
    # systemと切り離せなくするあたりが(ry
    --
    @ytnobody
    • by typer (9666) on 2005年01月10日 6時47分 (#676362) 日記
      IEはただのブラウザではありません。自身のコンピュータをブラウズすることにより、誰でも簡単にファイルを開き、コンピュータの状態を把握し、そして操作することができるのです。
      IEはさらに自身のコンピュータにとどまらず、インターネット、すなわち全世界ともシームレスな接続を可能とするソフトウェアなのです。
      それを支えるのがActiveX,ActiveScriptやDCOMといったネットワークアプリケーション、分散処理技術であり、これらの技術を更に強化した.NETにより、我々は全世界を統合した環境を得ることができるのです。
      「我々はMSだ。抵抗は無意味だ。」
      親コメント
  • by Anonymous Coward on 2005年01月10日 7時43分 (#676369)
    http://internet.watch.impress.co.jp/cda/news/2005/01/06/5957.html

    影響度が違うとは言え、特定の脆弱性情報だけを載せるのは、無理があるような。
    まとめて記事にできると、良いのですがね。
    • by Anonymous Coward on 2005年01月10日 12時52分 (#676454)

      どしどしタレコミましょう。無いときは自分で、もアレゲ魂です。

      で、この「MozillaとFirefox、ダウンロード時のダイアログボックスに脆弱性 [impress.co.jp]」、簡単に言えば、

      1. 有限幅のダイアログボックスに非常に長い「ダウンロード元」ドメイン名を表示するためにはURLのどこかを省略表示する必要があるが、
      2. その際にドメイン名の「尻側」を省略表示すると、結果としてダウンロード元ドメイン名の末尾が隠れてしまう。
      3. これを利用して、非常に長いサブドメイン名を使ってメインドメイン名を意図的に隠すことができる。サブドメイン名を工夫してやれば(表示環境に依存するが)一見「信頼できそうなドメイン名」部分だけを表示させることも可能→ドメイン名詐称可能の脆弱性

      というもので、うわー“ドメイン名の省略の仕方”なんてーのまで立派な脆弱性になるのかよWebアプリ開発の中の人も大変だな、とか思いましたのですよ。

      けどこれ、ドメイン名(URL)の「尻側」を省略表示すると脆弱性に繋がり得るというのはわかったけど、では「頭側」の省略表示なら問題がないのかと言われると、それはそれで問題があるように思えるのですよね。スキーム名が見えなくなる、とか。

      この問題、どう解決しているのでしょうか。教えて偉い人。

      親コメント
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...