パスワードを忘れた? アカウント作成
9927 story

IE/Outlookその他に「リモートからコード実行」の脆弱性 38

ストーリー by Oliver
いまは震えるのみ 部門より

mew曰く、"Internet ExplorerおよびOutlookその他に「リモートからのコード実行」の脆弱性が発見されたことを、CNET Japanが報じている。記事のソースはeEye Digital Securityの公表情報。悪用されると、悪意ある者にバックドアやトロイの木馬を仕掛けられることを許してしまうという。Microsoftには通知済みで、Microsoftもこれを「認めた」とのことだが、パッチはまだ出ていない。
未パッチのためか脆弱性の詳細はまだ伏せられており、どのプラットフォームの・どのバージョンの IE/Outlook/その他のソフトが、どの程度の影響を受けるのかはまだ明らかでない。どのような回避策があるかも現時点では不明だ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年04月05日 1時08分 (#718836)
    とりあえず参考までにITmediaの記事へのリンク [itmedia.co.jp]。

    緊急パッチを出すのか、それとも月例パッチを待つのか、はたまた来月以降になるのか。
    どういう対応を取るんでしょうかね。

    • by Anonymous Coward on 2005年04月05日 4時03分 (#718868)
      その記事によると、
      メフレット氏は、近い将来にパッチがリリースされることはないとの見方だ。同社が調査しているソフトベンダーの中で、Microsoftは脆弱性が報告されてからパッチリリースまでの期間が最も長く、230日かかっている。
      だそうですよ。
      親コメント
      • by Lizy (19775) on 2005年04月05日 12時11分 (#719009)
        パッチリリースまでの期間は、深刻度別に考える必要があるのではないでしょうか。
        この230日というのが緊急度の高い脆弱性に対するパッチリリースまでの期間だとしたらさすがに非難されてもしょうがない気もしますが、緊急度に関係ない全てのパッチのリリースまでの平均期間を、今回のような緊急度の高いケースに持ち出してくるのはいささか不適切な気がします。

        まあ発言した方は専門家のようですから、そういうことを当然踏まえた上で発言しているとは思いますが……
        親コメント
        • パッチリリースまでの期間は、直しやすさ別に考える必要があるのではないでしょうか。
          この230日というのがすぐに直せる脆弱性に対するパッチリリースまでの期間だとしたらさすがに非難されてもしょうがない気もしますが、修正の困難さに関係ない全てのパッチのリリースまでの平均期間を、今回のような緊急度の高いケースに持ち出してくるのは・・・・・
  • by Anonymous Coward on 2005年04月05日 1時21分 (#718839)
    これも。
    http://www.securityfocus.com/bid/12960/info/

    これもか。
    http://www.securityfocus.com/bid/12969/info/
  • by texas_oyaji (22948) on 2005年04月05日 2時03分 (#718851) 日記
    Windowsファミリをネットワークにつないじゃいけないという
    ことなのでしょうか。勝手につなげにいくMSN Messengerでも
    だめという話ならその時点でアウトではないかと。

    実はもうしかけられてたりして(涙
    • by Anonymous Coward
      xinetdに脆弱性が出ました、なんて話になったら同じ反応をして頂戴ね。
      • Re:これでは。 (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2005年04月05日 3時07分 (#718864)
        xinetd がダメなら tcpserver を使えばいいじゃない。

        っていうか、xinetd がダメってわかってれば対応はいくらでもできるわけで、今回のは

        > Software Affected:
        > Internet Explorer
        > Outlook
        > Additional miscellaneous titles

        てな具合になにが安全でなにが危険かわからないような発表をされてるから疑心暗鬼になるんですよ。

        だから例え話をしたいなら、
        『Linux のいくつかのデーモンに remote exploit が発見されました』
        みたいな話にしなきゃダメ。

        というのはおいといて、状況から考えて MSHTML とか ActiveX とかどうせそのへんだろうから
        普段通りに注意して暮らしてれば問題ないんじゃないですかね?

        # IE だの Outlook だのを信頼して使ってるなんて人、いませんよね?
        親コメント
        • 対応できるじゃん (スコア:2, すばらしい洞察)

          by Livingdead (18685) on 2005年04月05日 7時01分 (#718886) ホームページ 日記
            っていうか、xinetd がダメってわかってれば対応はいくらでもできるわけで、

          だから、Windowsがだめってわかっているんだから対応はいくらでもできるんじゃねーの?いや、あおりじゃなくてマジで。
          --
          屍体メモ [windy.cx]
          親コメント
          •  本当にそうでしょうか?

             例えば仮に『不正なヘッダを持つ IP データグラムを特定の順序で受信することにより任意のコードを実行される』なんて脆弱性だったら、ネットワークを利用できなくなりますよね?

             同じく仮に『特定のデータ列を含む HTML をレンダリングすると任意のコードを実行される』なんて脆弱性だったら、他人から受け取ったほとんどのデータを利用できなくなりますよね?
            (信頼できる人からなら大丈夫? その人のマシンが 60 日後に発動する論理爆弾つきワームに侵されていないと証明できれば大丈夫かもしれません)

             1番目のよう
          • >、Windowsがだめってわかっているんだから対応はいくらでもできるんじゃねーの?

            対応はいくらでもあるででしょうが、できないひとはできないでしょう。

            #考えが足らんな
            #てか今まで何度もでてフレームしている話題を持ち出して「いやあおりじゃないマジで。」も糞もねえだろ
            #いやあおりじゃなくてマジで。
        • by kei100 (5854) on 2005年04月07日 2時02分 (#719714)
          多分、IEのブラウザコンポーネント自身では?
          IE,Outlookどっちも使ってますし、他のアプリケーションでも部品として使ってるものが多いですから。
          親コメント
        • by Anonymous Coward
          ノーガード戦法
      • Re:これでは。 (スコア:2, 参考になる)

        by mew (23987) on 2005年04月05日 2時43分 (#718860)

        今回とは比べものにならないぐらいの反応が生じると思いますよ。

        それはさておき。今回のeEyeによる脆弱性公表とMicrosoftの対処方法では、あまりに情報が少なすぎます。せめて、暫定で良いから“当面の回避策”ぐらいは発表してもらいたいな、と。あれだけでは、パッチ未・影響範囲調査中ということを差し引いても、親コメント(#718851)のような不安を持つ人が多数でてきても仕方ないように思います。

        (タレコんだの自分のくせしてアレなのですが)

        親コメント
        • by Anonymous Coward
          >“当面の回避策”

          IE と Outlook を使わないことです。
          • by Anonymous Coward
            >>IE と Outlook を使わないことです。
            単純にIEやOutlookを使うなと言う意味でしょうか?

            Windowsを使うと言う事はIEも使うと言う事なので
            Windowsを使うなと言っているように聞こえますな。
            • by Anonymous Coward
              Windows使っているけれどIE/OLは全社的に使用禁止のため使っていません。
              • by Anonymous Coward
                いやネットサーフィンの時にIEなどを使わないと言う事だけならそうだけど
                今回はネットサーフィン時に脆弱性が利用されるとは何処にも書いていないのでその辺が気になるだけ。
                (いやね、Windowsの一部でもある、「とある基本機能」を使った時 脆弱性が再利用できる事を発見したです)
              • by Anonymous Coward
                だよねぇ。
                現状、IEはWindowsの一部分なのだから、
                IEフロントエンド利用時のみに問題になるのか、
                それ以外からも突付かれるのかだけでも明らかにしてくれないと、
                Windows禁止と言う馬鹿らしい事態になりかねない。
              • by Anonymous Coward
                >Windows禁止と言う馬鹿らしい事態になりかねない。

                Windowsを使うこと自体が馬鹿らしいのですがね。
                なぜそれに気が付かないのかな。
        • by Anonymous Coward
          >それはさておき。今回のeEyeによる脆弱性公表とMicrosoftの対処方法では、あまりに情報が少なすぎます。せめて、暫定で良いから“当面の回避策”ぐらいは発表してもらいたいな、と。

          今のままで十分だろ。

          善意のエンドユーザがわずかな納得を得るために、悪意のクラッカーも含めた
          不特定多数に脆弱性を特定する情報を与えるより、秘密にしておいたほうが
          何倍も良いと思う。

          FirefoxでJavaScriptの脆弱性が出たとして、当面の回避策としてJavaScriptを
          オフにするという情報があると思うが、さて、実際にオフにしてる人は
          どれだけ
          • by Anonymous Coward
            善意のエンドユーザがわずかな納得を得るために、悪意のクラッカーも含めた 不特定多数に脆弱性を特定する情報を与えるより、秘密にしておいたほうが 何倍も良いと思う。

            これって、何年も前に終わった議論なんだけど、未だに言ってる人がいるというのは驚きです。

      • Re:これでは。 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年04月05日 2時39分 (#718859)
        隠すから騒がれるんじゃないか。
        勿論 xinetd に脆弱性があったら大騒ぎになるだろうけど、
        「何がどれだけ危ないのか」も公表されているだろうから、
        冷静に対応できるだろうね。パッチもあっという間に出るだろうし。
        親コメント
        • by Anonymous Coward
          >隠すから騒がれるんじゃないか。
          パッチが出るまでは危険性の詳細は隠すものでは?
          今回のは、「eEyeでは数日前にMicrosoftに通知済み」との
          ことですが「同社がこの脆弱性に対応するパッチを月例パッチ
          のリリースまで待たずに公開するかどうかは疑問」と考えて
          おきながら、数日という短い期間で脆弱性の存在を公表したのは
          何かの営業目的ですかね。(詳細を公表していないから、まあ
          まだマシかという気もしますが)
          >勿論 xinetd に脆弱性
          • Re:これでは。 (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2005年04月05日 7時53分 (#718896)

            なんだか元レスの人が誤解されているようなので指摘モード。

            「同社がこの脆弱性に対応するパッチを月例パッチのリリースまで待たずに公開するかどうかは疑問」と考えておきながら、数日という短い期間で脆弱性の存在を公表したのは何かの営業目的ですかね。

            これは、今までMicrosoftが行なってきたことからの反省でしょう。詳細を公開しないまでも存在を明かすことによってセキュリティパッチをできる限り迅速に出させる「目に見えない圧力」をかけるためのものではないかと思うのですが。
            実際問題としてかなり致命的なセキュリティホールがその存在を一部の人間に知られたまま一年以上放置していた例もあることですし、ユーザの安全性という点から考えてもパッチ提供への圧力は強すぎない範囲で強いほうが良いと思います。

            そうでしょうか。パッチが出たらユーザーの皆さんはちゃんと当てられてます?

            パッチをきちんと管理する能力がある人なら自力で当てるでしょうし、ディストリビュータがその作業を代行する場合もあります。私の場合はディストリビュータには頼っていないので自力で当てていますが、自信を持って「ちゃんと当てられている」と答えられますよ。パッチとともにPOF (Proof Of Concept)が公開される場合が多いので、パッチが本当に意味のあるものなのかどうかを確認することもできますし。

            パッチが出れば安全という思考停止も良くないのではないでしょうか。

            オープンソースでのパッチというのは、変更箇所を余すところ無く公開することでソースコードを理解できる多数の大衆の目に触れさせ、本当に意味のあるものなのかどうかとさらなる危険性をはらんでいないかどうかを監視してもらうところに意味があります。

            ですから、世の中にソースコードを理解できる人間が多数いて監視し続けている限りにおいて危険性は限りなくゼロに近づけるわけで、最終的に「パッチが出て大衆の目に触れさせておけば事実上安全」という結論に達することができるのだと思います。

            親コメント
            • by Anonymous Coward on 2005年04月06日 13時01分 (#719432)
              > オープンソースでのパッチというのは、変更箇所を余すところ無く
              > 公開することでソースコードを理解できる多数の大衆の目に触れ
              > させ、本当に意味のあるものなのかどうかとさらなる危険性を
              > はらんでいないかどうかを監視してもらうところに意味があります。

              ある事象に関わる(ことが可能な)人間が増えれば増えるほど
              「責任の分散」が生じるため、誰かが一人でやるよりも全体の
              パフォーマンスは低下する…と昔、心理学の授業で習った記憶が
              あります。

              ただ、統制されない大衆にはそもそも責任は発生しないでしょうから
              上記は適用しにくいことも考えられますが、だとしたら結局のところ
              責任も義務もないため「誰かが作ってくれるの待ち~」になるので、
              「事実上安全」というほどのことは言えないのではないかと。
              親コメント
            • by Anonymous Coward
              安全な事を証明してください。
              それができなければ「事実上安全」なんて言われても嬉しくないですね。
              • by Anonymous Coward
                つまり、君はソースコードひとつ読む努力もせず「誰か何とかして」といってるのね。
                甘えるなよ。
              • by Anonymous Coward
                結局甘えられないのなら、
                オープンソースによるセキュリティなんてその程度の物だという事です。
              • by Anonymous Coward
                そりゃ、バカにはバカ相応のコメントで十分。
                「豚に真珠」って言葉くらいは知ってるだろ?
            • by Anonymous Coward
              >ですから、世の中にソースコードを理解できる人間が多数いて
              >監視し続けている限りにおいて危険性は限りなくゼロに近づける
              >わけで、最終的に「パッチが出て大衆の目に触れさせておけば
              >事実上安全」という結論に達することができるのだと思います。

              これはオープンソース推
              • by Anonymous Coward
                議論をしたければきちんと反論を用意しましょう。
                叩くだけではだめですよ:-)
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...