IE/Outlookその他に「リモートからコード実行」の脆弱性 38
ストーリー by Oliver
いまは震えるのみ 部門より
いまは震えるのみ 部門より
mew曰く、"Internet ExplorerおよびOutlookその他に「リモートからのコード実行」の脆弱性が発見されたことを、CNET Japanが報じている。記事のソースはeEye Digital Securityの公表情報。悪用されると、悪意ある者にバックドアやトロイの木馬を仕掛けられることを許してしまうという。Microsoftには通知済みで、Microsoftもこれを「認めた」とのことだが、パッチはまだ出ていない。
未パッチのためか脆弱性の詳細はまだ伏せられており、どのプラットフォームの・どのバージョンの IE/Outlook/その他のソフトが、どの程度の影響を受けるのかはまだ明らかでない。どのような回避策があるかも現時点では不明だ。"
次回月例パッチ予定は12日 (スコア:2, 参考になる)
緊急パッチを出すのか、それとも月例パッチを待つのか、はたまた来月以降になるのか。
どういう対応を取るんでしょうかね。
Re:次回月例パッチ予定は12日 (スコア:2, 参考になる)
Re:次回月例パッチ予定は12日 (スコア:2, 参考になる)
この230日というのが緊急度の高い脆弱性に対するパッチリリースまでの期間だとしたらさすがに非難されてもしょうがない気もしますが、緊急度に関係ない全てのパッチのリリースまでの平均期間を、今回のような緊急度の高いケースに持ち出してくるのはいささか不適切な気がします。
まあ発言した方は専門家のようですから、そういうことを当然踏まえた上で発言しているとは思いますが……
緊急でなかろうが、すぐ直せるものはすぐ直せよ (スコア:0)
この230日というのがすぐに直せる脆弱性に対するパッチリリースまでの期間だとしたらさすがに非難されてもしょうがない気もしますが、修正の困難さに関係ない全てのパッチのリリースまでの平均期間を、今回のような緊急度の高いケースに持ち出してくるのは・・・・・
ハヤシもあるでよ。ウハウハ。 (スコア:1, 参考になる)
http://www.securityfocus.com/bid/12960/info/
これもか。
http://www.securityfocus.com/bid/12969/info/
これでは。 (スコア:1)
ことなのでしょうか。勝手につなげにいくMSN Messengerでも
だめという話ならその時点でアウトではないかと。
実はもうしかけられてたりして(涙
Re:これでは。 (スコア:0)
Re:これでは。 (スコア:3, すばらしい洞察)
っていうか、xinetd がダメってわかってれば対応はいくらでもできるわけで、今回のは
> Software Affected:
> Internet Explorer
> Outlook
> Additional miscellaneous titles
てな具合になにが安全でなにが危険かわからないような発表をされてるから疑心暗鬼になるんですよ。
だから例え話をしたいなら、
『Linux のいくつかのデーモンに remote exploit が発見されました』
みたいな話にしなきゃダメ。
というのはおいといて、状況から考えて MSHTML とか ActiveX とかどうせそのへんだろうから
普段通りに注意して暮らしてれば問題ないんじゃないですかね?
# IE だの Outlook だのを信頼して使ってるなんて人、いませんよね?
対応できるじゃん (スコア:2, すばらしい洞察)
だから、Windowsがだめってわかっているんだから対応はいくらでもできるんじゃねーの?いや、あおりじゃなくてマジで。
屍体メモ [windy.cx]
Re:対応できるじゃん (スコア:0)
例えば仮に『不正なヘッダを持つ IP データグラムを特定の順序で受信することにより任意のコードを実行される』なんて脆弱性だったら、ネットワークを利用できなくなりますよね?
同じく仮に『特定のデータ列を含む HTML をレンダリングすると任意のコードを実行される』なんて脆弱性だったら、他人から受け取ったほとんどのデータを利用できなくなりますよね?
(信頼できる人からなら大丈夫? その人のマシンが 60 日後に発動する論理爆弾つきワームに侵されていないと証明できれば大丈夫かもしれません)
1番目のよう
Re:対応できるじゃん (スコア:0)
FISEのようにエレガント (スコア:0)
Re:FISEのようにエレガント (スコア:0)
ノミだらけの猫ばかりがペットじゃないだろう、いや、あおりじゃなくてマジで、とも。
Re:対応できるじゃん (スコア:0)
対応はいくらでもあるででしょうが、できないひとはできないでしょう。
#考えが足らんな
#てか今まで何度もでてフレームしている話題を持ち出して「いやあおりじゃないマジで。」も糞もねえだろ
#いやあおりじゃなくてマジで。
Re:これでは。 (スコア:1)
IE,Outlookどっちも使ってますし、他のアプリケーションでも部品として使ってるものが多いですから。
のーがーど (スコア:0)
Re:これでは。 (スコア:2, 参考になる)
今回とは比べものにならないぐらいの反応が生じると思いますよ。
それはさておき。今回のeEyeによる脆弱性公表とMicrosoftの対処方法では、あまりに情報が少なすぎます。せめて、暫定で良いから“当面の回避策”ぐらいは発表してもらいたいな、と。あれだけでは、パッチ未・影響範囲調査中ということを差し引いても、親コメント(#718851)のような不安を持つ人が多数でてきても仕方ないように思います。
(タレコんだの自分のくせしてアレなのですが)
Re:これでは。 (スコア:0)
IE と Outlook を使わないことです。
Re:これでは。 (スコア:0)
単純にIEやOutlookを使うなと言う意味でしょうか?
Windowsを使うと言う事はIEも使うと言う事なので
Windowsを使うなと言っているように聞こえますな。
Re:これでは。 (スコア:0)
Re:これでは。 (スコア:0)
今回はネットサーフィン時に脆弱性が利用されるとは何処にも書いていないのでその辺が気になるだけ。
(いやね、Windowsの一部でもある、「とある基本機能」を使った時 脆弱性が再利用できる事を発見したです)
Re:これでは。 (スコア:0)
現状、IEはWindowsの一部分なのだから、
IEフロントエンド利用時のみに問題になるのか、
それ以外からも突付かれるのかだけでも明らかにしてくれないと、
Windows禁止と言う馬鹿らしい事態になりかねない。
Re:これでは。 (スコア:0)
Windowsを使うこと自体が馬鹿らしいのですがね。
なぜそれに気が付かないのかな。
Re:これでは。 (スコア:0)
今のままで十分だろ。
善意のエンドユーザがわずかな納得を得るために、悪意のクラッカーも含めた
不特定多数に脆弱性を特定する情報を与えるより、秘密にしておいたほうが
何倍も良いと思う。
FirefoxでJavaScriptの脆弱性が出たとして、当面の回避策としてJavaScriptを
オフにするという情報があると思うが、さて、実際にオフにしてる人は
どれだけ
Re:これでは。 (スコア:0)
これって、何年も前に終わった議論なんだけど、未だに言ってる人がいるというのは驚きです。
Re:これでは。 (スコア:0)
Re:これでは。 (スコア:1, すばらしい洞察)
勿論 xinetd に脆弱性があったら大騒ぎになるだろうけど、
「何がどれだけ危ないのか」も公表されているだろうから、
冷静に対応できるだろうね。パッチもあっという間に出るだろうし。
Re:これでは。 (スコア:0)
パッチが出るまでは危険性の詳細は隠すものでは?
今回のは、「eEyeでは数日前にMicrosoftに通知済み」との
ことですが「同社がこの脆弱性に対応するパッチを月例パッチ
のリリースまで待たずに公開するかどうかは疑問」と考えて
おきながら、数日という短い期間で脆弱性の存在を公表したのは
何かの営業目的ですかね。(詳細を公表していないから、まあ
まだマシかという気もしますが)
>勿論 xinetd に脆弱性
Re:これでは。 (スコア:1, すばらしい洞察)
なんだか元レスの人が誤解されているようなので指摘モード。
「同社がこの脆弱性に対応するパッチを月例パッチのリリースまで待たずに公開するかどうかは疑問」と考えておきながら、数日という短い期間で脆弱性の存在を公表したのは何かの営業目的ですかね。
これは、今までMicrosoftが行なってきたことからの反省でしょう。詳細を公開しないまでも存在を明かすことによってセキュリティパッチをできる限り迅速に出させる「目に見えない圧力」をかけるためのものではないかと思うのですが。
実際問題としてかなり致命的なセキュリティホールがその存在を一部の人間に知られたまま一年以上放置していた例もあることですし、ユーザの安全性という点から考えてもパッチ提供への圧力は強すぎない範囲で強いほうが良いと思います。
そうでしょうか。パッチが出たらユーザーの皆さんはちゃんと当てられてます?
パッチをきちんと管理する能力がある人なら自力で当てるでしょうし、ディストリビュータがその作業を代行する場合もあります。私の場合はディストリビュータには頼っていないので自力で当てていますが、自信を持って「ちゃんと当てられている」と答えられますよ。パッチとともにPOF (Proof Of Concept)が公開される場合が多いので、パッチが本当に意味のあるものなのかどうかを確認することもできますし。
パッチが出れば安全という思考停止も良くないのではないでしょうか。
オープンソースでのパッチというのは、変更箇所を余すところ無く公開することでソースコードを理解できる多数の大衆の目に触れさせ、本当に意味のあるものなのかどうかとさらなる危険性をはらんでいないかどうかを監視してもらうところに意味があります。
ですから、世の中にソースコードを理解できる人間が多数いて監視し続けている限りにおいて危険性は限りなくゼロに近づけるわけで、最終的に「パッチが出て大衆の目に触れさせておけば事実上安全」という結論に達することができるのだと思います。
Re:これでは。 (スコア:1, 興味深い)
> 公開することでソースコードを理解できる多数の大衆の目に触れ
> させ、本当に意味のあるものなのかどうかとさらなる危険性を
> はらんでいないかどうかを監視してもらうところに意味があります。
ある事象に関わる(ことが可能な)人間が増えれば増えるほど
「責任の分散」が生じるため、誰かが一人でやるよりも全体の
パフォーマンスは低下する…と昔、心理学の授業で習った記憶が
あります。
ただ、統制されない大衆にはそもそも責任は発生しないでしょうから
上記は適用しにくいことも考えられますが、だとしたら結局のところ
責任も義務もないため「誰かが作ってくれるの待ち~」になるので、
「事実上安全」というほどのことは言えないのではないかと。
Re:これでは。 (スコア:0)
それができなければ「事実上安全」なんて言われても嬉しくないですね。
Re:これでは。 (スコア:0)
甘えるなよ。
Re:これでは。 (スコア:0)
オープンソースによるセキュリティなんてその程度の物だという事です。
Re:これでは。 (スコア:0)
「豚に真珠」って言葉くらいは知ってるだろ?
Re:これでは。 (スコア:0)
>監視し続けている限りにおいて危険性は限りなくゼロに近づける
>わけで、最終的に「パッチが出て大衆の目に触れさせておけば
>事実上安全」という結論に達することができるのだと思います。
これはオープンソース推
Re:これでは。 (スコア:0)
叩くだけではだめですよ:-)