パスワードを忘れた? アカウント作成
43135 story
セキュリティ

Internet Explorerの未対策の脆弱性を狙ったゼロデイ攻撃、海外で被害増加中 28

ストーリー by hylom
クラッカー仕事早っ、 部門より

insiderman 曰く、

先日マイクロソフトが発表した、Internet Explorerで任意のリモートコードが実行される脆弱性を狙った攻撃による被害が海外で急増しているそうだ(AP通信の記事)。

記事によるとすでに10000以上のサイトにこの脆弱性を狙うコードが仕込まれているとのことで、主に中国のサイトがオンラインゲームのパスワードを狙うために設置しているそうだ。この問題を改善するパッチは今のところリリースされていないため、専門家らはパッチがリリースされるまで別のブラウザを使うことを推奨しているとのこと。

なお、12月17日付けでこの問題に対するパッチ(KB960714)がリリースされたようです(Mircosoftの詳細情報ページ)。Windows Updateでも配布されているようですので、迅速なパッチ適用をおすすめします。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nezuku (25740) on 2008年12月17日 17時27分 (#1475184)
    http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx [microsoft.com]
    12月のセキュリティ情報ページに今回の発表について追加,
    http://blogs.technet.com/jpsecurity/archive/2008/12/17/3169953.aspx [technet.com]
    明日18日に緊急の更新プログラムが公開される予定です.
  •  dodongaです。

     http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx



     セキュリティ > セキュリティ情報検索
     マイクロソフト セキュリティ情報 MS08-078 - 緊急
     Internet Explorer 用のセキュリティ更新プログラム (960714)

    のペ~ジに誤植発見。

     レジストリエディタのコマンド名をtypoしちゃだめですよ・・・。
     まぁ、頭一文字が欠けているだけですので、コピ~&ペ~ストミスなのでしょうけども。

    #パワ~ユ~ザしか見ないでしょうし、脳内変換できますけど¥^^
    --
    閑話休題
  • by Anonymous Coward on 2008年12月18日 12時35分 (#1475677)
    >なお、12月17日付けでこの問題に対するパッチ(KB960714)がリリースされたようです
    でもパッチをあてるのにIEを仕えという矛盾。
    • でもパッチをあてるのにIEを仕えという矛盾。
      他のブラウザでもパッチはダウンロードできるよ。

      オンラインでの更新をサポートしているシステムは、どれも同じような問題は抱えてるね。IEに限った話じゃない。
      親コメント
      • Re: (スコア:0, 興味深い)

        by Anonymous Coward
        たとえばSafariの場合、更新システムはSafariとは完全に切り離されています。Software Update自体のアップデートも確かにありましたが、Safari自体より明らかに頻度は低いですし、専用アプリケーションなので攻撃もWebブラウザよりは困難です。
        Windows Updateも、Windows VistaでようやくIEが不要になりました。
        • by Anonymous Coward
          それで、そのSoftware Update自体に脆弱性があってアップデートが
          必要なときに、そのSoftware Updateを使うのは変なのかって話だよ。
          Safariと切り離されてるから大丈夫とか言う話じゃない。
          お わ か り?

          >専用アプリケーションなので攻撃もWebブラウザよりは困難です。

          そういう甘い考えが既に脆弱性だね。
          「専用アプリケーション」だから「困難」っていう根拠は不成立。
          • >>専用アプリケーションなので攻撃もWebブラウザよりは困難です。
            >
            >「専用アプリケーション」だから「困難」っていう根拠は不成立。

            元コメントの人は
            専用アプリなんだからアップデートの時以外起動していない、起動していないものは安全だ、くらいの意味なんじゃない?
            確かにブラウザほど長時間立ち上げてはいないけど、裏で走ってたりはしないのかな。
            親コメント
            • by Anonymous Coward on 2008年12月19日 9時30分 (#1476425)
              元コメントのACですが、攻撃が困難というより穴を見つけるのが困難というべきだったでしょうか。たとえば汎用アプリたるWebブラウザでJavaScriptを無効にするのは事実上不可能ですが、専用アプリをJavaScript実行可能にする必然性は全くありません。JavaScriptを無効にできればどれだけ攻撃可能な穴を減らせるかは、Mozilla Foundation セキュリティアドバイザリ [mozilla-japan.org]でFirefoxとThunderbirdの脆弱性を見比べれば一目瞭然です。
              何より、Software Updateの修正頻度がSafariより低いこと自体が穴の見つけにくさを証明しています。
              親コメント
          • いいから涙拭けよ・・・。
    • by Anonymous Coward
      パッチを当て終わるまで、マイクロソフトのWindowsUpdateの以外を閲覧しなければいいじゃない。
      WindowsUpdateのWebがハックされていることを心配するなら、そこで配布されているパッチだって・・・
  • by Anonymous Coward on 2008年12月18日 12時56分 (#1475699)
    T/O
  • by Anonymous Coward on 2008年12月18日 17時15分 (#1475941)
    IEでログインしてからでないとゲームで遊べないソフトが増えました。
    ゲーム提供企業が、ユーザIDとパスワードを盗めるように便宜を図っているのではないでしょうか?
  • by Anonymous Coward on 2008年12月19日 5時12分 (#1476342)
    ほんとに死んで欲しいですよ!まじでインターネットの癌細胞だわ。 殺しても罪にならないなら、クビチョンパしたる
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...