パスワードを忘れた? アカウント作成
13591 story

ActiveXの脆弱性を狙う攻撃が確認される 21

ストーリー by mhatta
Windowsユーザはご用心 部門より

masakun曰く、"Internet Watchの記事によれば、「リモートから任意のコードを実行される恐れのある整数オーバーフローの脆弱性」が報告されている。
10月3日に更新されたMicrosoftのセキュリティアドバイザリによると、この脆弱性を利用してマルウェアをインストールする攻撃サイトも限定的ながら確認されているが、技術的な問題で未遂に終わっているようだ。パッチが出るまでの対策としては、WebViewFolderIcon ActiveXコントロールに対してレジストリでKill Bitを設定して一時的に無効にする、インターネットゾーンでActiveXコントロールが実行される前にダイアログを表示するようにしておく、などが挙げられている。詳細についてはアドバイザリにある「推奨するアクション」の項目を参照のこと。

FirefoxにMozilla ActiveX plug-inを追加しているユーザーも気をつけましょう。:-)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2006年10月07日 13時18分 (#1033607)
    というタイトルは範囲が広すぎて誤解を招きそう。
    WebViewFolderIcon以外にも脆弱性のあるActiveXコントロールが攻撃されることなんて何度もあったと思うし。
    • Re:ActiveXの脆弱性 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2006年10月07日 15時31分 (#1033672)
      そうですね、このままだとActiveXというメカニズム自体に問題があるように読めてしまいます。
      元記事のタイトルも「WindowsのActiveXコントロールにパッチ未提供の脆弱性」となっているので、あくまでもコントロールの一つの脆弱性であることは明記しておいたほうがよいと思います。

      ただ、(ユーザがインストールするのではなく)対象となるWindowsマシンに最初から入っているという点では注意を促すべきでしょう。
      親コメント
      • by Anonymous Coward
        タレコミのリンク先にあるMS大本営発表では、3つの方法があって、

        1.一時的に Microsoft WebViewFolderIcon ActiveX コントロールが Internet Explorer で実行されないようにする

        2.Internet Explorer をインターネットおよびローカル イントラネット ゾーンで ActiveX コントロールが実行される前にダイアログを表示するように構成する、または ActiveX コントロールを無効にするよう構成する

        3.インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する
  • by Anonymous Coward on 2006年10月08日 14時35分 (#1033928)
    この話 [ryukoku.ac.jp] ですね。

  • by Anonymous Coward on 2006年10月07日 22時23分 (#1033794)
    あんなバグバグのシステム使うんでしょうかねェ?
    買ってきて一番最初にOFFにするもんでしょ。っていうお約束も
    既に過去のもの。

    #だからレスの数が少ないんだ...。
    • Re:何で (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2006年10月08日 10時21分 (#1033892)

      その昔単なるプラグインだった頃はともかく、今はIE自身ですらActiveXコントロールですし、その初期化処理もOSが行なうことになっていますので(独占禁止法裁判でOSとブラウザが不可分だと主張したのもこれを根拠にしている)、Windowsを使っている以上ActiveXとその一部であるIEは避けて通れないものになっています。

      つまりは全てのActiveXを使わないためにはWindowsを使わない以外の手段がなく、裏を返せばWindowsの何らかのソフト(多くはOfficeなど)を使う以上ActiveXは避けて通れないものになっているというのが現状だと思います。

      親コメント
    • by goji (949) on 2006年10月08日 9時18分 (#1033883) ホームページ 日記
      ActiveXが使える以外にIE使うメリットあるかな?
      親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...