重大な脆弱性に対応したIEの緊急パッチリリース 43
ストーリー by wakatono
号外リリース 部門より
号外リリース 部門より
Anonymous Component曰く、"Internet Explorer用の緊急パッチがリリースされました。
クロスドメインのセキュリティ脆弱性と呼ばれる今回の欠陥は、
ユーザーがHTMLメールのリンクをクリックしたり、
悪質なウェブサイトを開いたりすると、
攻撃者によってリモートでコードが実行される危険性が有るため、
マイクロソフトでは
セキュリティ修正プログラムを直ちに適用するように求めています。
なお、実際のアドレスとは異なる
偽のアドレスをアドレスバーに表示できてしまう欠陥と、
細工されたリンクをクリックすると
勝手にファイルがダウンロードされてしまう欠陥も
合わせて修正されるそうです。
対策はお早めに。"
NT4.0/98SE用 (スコア:2, 参考になる)
とはいえ、MSがサポートしてないことには変わらないので、「自己責任で」と言ったところかな。
Re:NT4.0/98SE用 (スコア:2)
ん?
先日のライフサイクルの見直し [microsoft.com]で、セキュリティホットフィックスはまだ出るんじゃないの?
# だよね?>識者
# 転職しよーか、なぁ。
Re:NT4.0/98SE用 (スコア:2, 参考になる)
で、延長フェーズでは無償サポートは無く、有償のサポート契約して「セキュリティホットフィックス作って~」とお願いしないと作ってくれません。
t_meatさんがあげているライフサイクルのガイドライン [microsoft.com]にも って書かれてますし。
こっちのページ(その1 [microsoft.com] その2 [microsoft.com])の方が分かりやすいかな?
Re:NT4.0/98SE用 (スコア:1)
があぁぁん。。。
。。。やっと理解しました。 メインストリームはとっくに済んでいるのに、セキュリティホットフィックスが出てたから、延長フェーズも無償セキュリティホットフィックスがあるものとばかり勘違いしておりました。
# やば、ユーザに嘘ついてることになるな。。。_| ̄|○
# 転職しよーか、なぁ。
最近は。。。 (スコア:0)
「ぼちぼちでんなぁ」
スクロールバー (スコア:1, 参考になる)
Re:スクロールバー (スコア:2, 参考になる)
ただ、少なくともIE6SP1 + NT4SP6a では直ってないです。
IE5.5SP2 + Win2000SP3 では起きませんが、
そもそもこの組み合わせだと2画面スクロール現象って起きてましたっけ?
なんですと!? (スコア:0)
さっそく更新せねば!!
Re:なんですと!? (スコア:1)
戻らざるを得ないのではないかと。
Re:なんですと!? (スコア:1, すばらしい洞察)
使いたくない人に無理に使ってもらう必要はない。
IEにはIEのよさがあるのだし。
#私はMozilla Firebird使い
事実上 (スコア:1)
#最初からンなこと言わないいのに…
Re:事実上 (スコア:0)
# ただ時期がなぁ…。もっと早めに作れれば1月分に入れられたかもしれないのに。
Re:事実上 (スコア:0)
MS も緊急のは検討するよと言ってなかったっけ?
マニフェストじゃないんだから、意地にならず柔軟に対応してくれた方がいいと思うんだが。
まぁこのままグダグダになるか
月刊パッチ、たまに号外を維持するのか
生暖かい目で見守ろう
Re:事実上 (スコア:1)
だったら最初から月間なんて言わなくても一緒じゃないかぁ?って思った次第。
Re:事実上 (スコア:0)
#ネタならたくさんあることだし、、、
#どっちみち明日再インストールからやり直すからいいや。
Re:事実上 (スコア:1)
文句を言う人が少ないんじゃないかと期待。
(ってこのスレ主は文句を言ってる人なわけですが(苦笑))
「週刊」と言って出さない週があると、
文句を言う人が増えるんじゃないかと憂う。
という思考があったのではないかと推測してみましたが。
単にパッチを作る人が「月末(締切)間近にならないと働かない」とかだったりして(笑)。
BASIC認証がリセット (スコア:1, 参考になる)
Re:BASIC認証がリセット (スコア:3, 参考になる)
バグ [nikkeibp.co.jp]らしいです。
Re:BASIC認証がリセット (スコア:1, すばらしい洞察)
2回目ってのが謎を深めてる。なんかロープレのフラグ条件みたいだ。
#3歩進んで2歩下がる....
Re:BASIC認証がリセット (スコア:0)
(「7枚壁を壊してセレクトを押す」「そんな条件わかるかーっ!」)
(オフトピ)フラグ条件 (スコア:1)
上に2回、下に5回向く
あたりで挫折していました。
もう、20年前ですね。
月刊マイクロソフト (スコア:1)
1を聞いて0を知れ!
Re:月刊マイクロソフト (スコア:0)
『別冊 マイクロソフト』ですかね。
でもホントに有料サポートだったらどうなんだろね。
お金の無い奴等はサポートせんって事になったら荒れるだろうな。
Re:月刊マイクロソフト (スコア:0)
一部の使わなくなる人と、大多数の脆弱持ちに分かれるだけ。
公開日 (スコア:0)
公開してから検証でもしてるんでしょうか?
Re:公開日 (スコア:0)
「俺たちは既にこの日にパッチをリリースしていた」と
言い訳するためなんだから。
バイナリの中に記録されたタイムスタンプを見てみたいものだな。
ftp://user@foo/ のリンク (スコア:0)
うーん, FTP クライアントの使い方を教えるべきか, URL 直打ちしろと言うべ きか...
パッチを当てるなとは言いたくないしなぁ(悩)
Re:ftp://user@foo/ のリンク (スコア:2, 参考になる)
ちゃんと認証されますよ。
リンクとショートカットで確認済み。
安易な対策の弊害は大きい (スコア:3, 参考になる)
> ちゃんと認証されますよ。
> リンクとショートカットで確認済み。
検証したバージョンを教えてくれませんか?
ウチのXP+IE6SP1では「無効な構文エラー」となってしまいますが…?
また、今回の影響はIEプラグインにも及びます。
例えばMacromedia FlashでloadVariablesメソッドでuser:password@host記法を
使っていた場合、今回のパッチを適用すると認証エラーとなってしまいます。
潜在的に影響を受けるシステムはかなり多いのではないでしょうか?
毎度のこととはいえ、MSは安易な対策(という名のその場しのぎ)がユーザーに
多大なコスト負担を強いることになることを、肝に銘じて欲しいものです。
Re:ftp://user@foo/ のリンク (スコア:1)
# 自宅でなく、いまだ確認できてないのでID
Re:ftp://user@foo/ のリンク (スコア:1, 参考になる)
私が検証したのは, (ローカルに置いてある)WEB サーバ上のページにあるリン
クに関してです. 一回目は「ページを表示できません」と表示されます. その
後, 更新(F5)すると認証されました.
# 検証不足 & 言葉足らずですね.
お気に入りなどのリンクは検証してませんでした. フォローありがとうございます.
Re:ftp://user@foo/ のリンク (スコア:2, 参考になる)
無効な構文エラーとタイトルバーに表示されますた。
これ使ってる人結構多かったと思いますがね。。。
セキュリティとユーザビリティの相反する性格がモロに出ていますね。
両立できないんかなぁ。。。
Re:ftp://user@foo/ のリンク (スコア:3, 参考になる)
それによると に[iexplore.exe]や[explore.exe]のDWROD値を作ってそこを0にすればいいとか。
その他のプログラムでは、ここにそのexe名のDWORD値を作って1にしないと、今まで通りのようです。
逆に言うとこの値を1にすればIEと同じ事になると。
Re:ftp://user@foo/ のリンク (スコア:1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE]
"iexplore.exe"=dword:00000000
"explorer.exe"=dword:00000000
----------
ご利用は at your own risk で。
Re:ftp://user@foo/ のリンク (スコア:1, 参考になる)
ftpとhttpをごっちゃにしていませんか。
httpについては、この更新で"user:password@"がエラーになるように
なっています。
ftpでは、#487261に書いたとおり、ローカルのhtmlファイルからの
リンクとショートカットで、"user:password@"は従来どおり有効で
すが、アドレスバーには表示されなくなります。
また直接アドレスバーに入力しても、接続され、認証されますが、
アドレスバーからは消えます。
#487291によれば、ウェブサーバ上のhtmlファイルからのリンクは
エラーになるようですが、こちらでは確認できる環境がないので
未確認です。
Re:ftp://user@foo/ のリンク (スコア:1)
申し訳ないです。
ごっちゃにしてますた。
>#487291によれば、ウェブサーバ上のhtmlファイルからのリンクはエラーになるようですが、こちらでは確認できる環境がないので未確認です。
これ検証してみたしたが、httpのときと同じエラーが出ました。
と思いますが、誰か検証してみた方いらっしゃいますか?
#厨房なのがバレたのでID
この累積的な修正プログラムは、、 (スコア:0)
だそうだ Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004) [microsoft.com]
対策はお早めに。"
といい切るってしまうのも如何なものかと。Re:この累積的な修正プログラムは、、 (スコア:1)
あるWEBページに対して、アカウントを変える事で
いろいろな情報にアクセスしているので、
このアップデートをすると、複雑なパスワードを
毎回いれなきゃいけなくなる。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:この累積的な修正プログラムは、、 (スコア:1)
#487261によると、アドレスバーに表示されないだけで、認証は行われるようですが。
# 確認してないけどID
Re:この累積的な修正プログラムは、、 (スコア:1, 参考になる)
まぁ、もともとサーバログの Referer に username password が残るという、とんでもない状況のなのでこれを機会に他の(正しげな)方法を探るのが吉かも。
Windows Updateでは検出できない (スコア:0)
教えてエロい人
# Windows 2000 Professional + Internet Explorer 5.01だけど
Re:Windows Updateでは検出できない (スコア:1)
Windows 2000のSP2,SP3,SP4上でのIE5.01のSP2,SP3,SP4が対象だと思われますよ。あなたの環境に最も近いものは。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:Windows Updateでは検出できない (スコア:1)
Service Packをあててなければ
対象にならないんじゃないですかね。
#エロくてもIDで