まだパッチのないIEの脆弱性にゼロデイ攻撃 8
ストーリー by mhatta
触らぬページに祟りなし 部門より
触らぬページに祟りなし 部門より
Firefox使いのSassy曰く、"ITmediaによると、Secuniaが3月22日に報告した「HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性」によるゼロデイ攻撃が現在エスカレートしている、とのことだ。eWeekの記事によれば、一番最初の攻撃は3月25日に発見されており、SDbotというトロイの木馬の亜種をインストールさせる不正コードをばらまく20以上のホストと100以上のURLのリストがあるらしい。そして不正なURLは現在も増加中。12月に起きたWMFの脆弱性を利用した攻撃者の一部が今回も様々なサイトでテストしているとも言われ、攻撃がさらに広まれば、Microsoftによる臨時パッチのリリースもあるだろう。とりあえずInternet Explorer 6ユーザーはActive Scriptを無効にすることで攻撃を回避できる。(セキュリティホールmemoも参照されたし)
なおSecuniaは今日Internet Explorer Unspecified Automatic .HTA Application Executionという別の脆弱性を報告している。こちらの対策方法も「Active Scriptを無効にする」「信頼できないサイトを訪問しない」であることを付け加えておく。"
タレコミの訂正補足 (スコア:4, 参考になる)
そのためか回避方法について発見者のサイト [vanderstad.net]には「ウィルススキャナやアンチスパイウェアをインストールしろ」「Firefoxなど他のブラウザに替えろ」とあります。
Re:タレコミの訂正補足 (スコア:0)
あのシグネチャが、
> Sassy *** Team Firefox Japan ***
に、
変ったんじゃないかと心配したよ。
Re:ご心配おかけしました。 (スコア:1)
変わるも何も昔からFirefoxユーザーですけど(^^)/
常用し始めたのはおそらくMozilla Firebird 0.6.1 for OS/2辺り [geocities.jp]からです。
ここ2ヶ月ばかりは会社で隠れてNetFront v3.3を使うことの方が多いのですけれど、最近ようやくセットアップできた自宅のOS/2にはPmW-Fx 1.5.0.1 [weilbacher.org](OS/2のワークプレイスシェルに最適化させた非公式Firefox for OS/2)をいれてあげました。でもまだオフラインですけど(^^;
オフトピ気味なので、ついでにいろいろ書いてしまいますが、わたしはInternet Explorer 6は脆弱性実証のデモページを踏みにいく時くらいしか使いません(IEファンの皆様ごめんなさい)。それで昨夜タレコミを書いている最中、電卓が起動するデモページがあること [itmedia.co.jp]は分かって探してみたのですが、結局たどりつけませんでした。もうどうでもいいですけど。
ところで#910332 [srad.jp]には「ともに7で影響なしとされた」とありますが、これは3月20日公開のIE7 Beta 2 Preview [microsoft.com]での話。その前のバージョン [srad.jp]では影響あったようですね。ActiveX オプトイン [microsoft.com])が改良されたのかしら?
それから公式パッチが出るまでの間不安のあるユーザーは「Windows Live Safety Center(beta) [live.com]を使ってみるように」という案内が、Microsoft Security Response Center Blog! [technet.com]に出ていた。でも/.に出入りしている方なら必要ないでしょうね。
# 余談ですが、Bugtraqを眺めていたらMozilla Thunderbird : Multiple Information Disclosure Vulnerabilities [uni-stuttgart.de]だって。Thunderbird 1.5でも。orz
# すでにBugzilla [mozilla.org]に上がっているようですね(suezo氏の日記 [srad.jp],thanks)
# 好きな環境にセキュリティホールが見つかるとちょっとへこむな(汗
WMFと同様に (スコア:2, 参考になる)
ZDNetの記事 [zdnet.com]にもあるように、またもやサードパーティ [eeye.com]からパッチ [eeye.com]が公開されてますね
#まだMSは推奨してないけどIE7を古いWindowsまで適用しろ~ (スコア:1, すばらしい洞察)
IEの世代交代を進めるためにも是非。
Re:IE7を古いWindowsまで適用しろ~ (スコア:0)
だとすると枯れるまでの怖さってのもあるけど、(4から?)つぎはぎの6よりはよさそうだ。
Re:枯れるまでの怖さって (スコア:0)
Re:枯れるまでの怖さって (スコア:0)
どっちかというと、余計なものをくっつけてはそこが新たにトラブル起こしてる感じですね。
ソースなんてもうぐちゃぐちゃなんだろうな…
だから抜本的に作り直すのがいいと思う。