haronのgooBLOG

何はともあれ、開設することにしました。
ご意見等はコメントその他でお願いしますm(__)m

IEのセキュリティホールが話題に(3)

2004-06-12 22:43:40 | ネットのセキュリティ
ITMediaの記事(CNET News.comの記事の翻訳)によると、

IEに今週見つかった、これまで知られていなかった2つの欠陥を使って、ある企業がユーザーのPCに勝手にアドウェアをインストールしていた。

という状況が明らかになってます。

からくりとしては、

欠陥の1つは、攻撃者が被害者のマシン上でプログラムを起動できるようにしてしまうというもので、もう1つは悪質なコードを「クロスゾーン」させる--つまり、通常より高位のユーザー権限で実行できるようにしてしまう。これらのセキュリティホールに関する2件の分析によると、2つの欠陥を組み合わせた場合、あるウェブサイトを設けて、被害者となるユーザーがそこにアクセスすると、ユーザーのコンピュータにプログラムをアップロードし、インストールしてしまうといったことが可能になるという。

といったもので、
当面はアクセスするサイトを選んだ方が賢明でしょうね。

IDG JapanによるITMediaの別の記事では、

また6月10日にさらにもう2件、似たようなセキュリティホールが発覚している。一方はIE、Mozilla、Safariに影響するスプーフィングの脆弱性で、もう一方はクロスゾーン・スクリプティングの脆弱性。

という事態にもなっているようで、
ある研究者はこんなことまで話してます。

PivX Solutionsのセキュリティ研究者、トール・ラーホルム氏は、これらの脆弱性はいずれも、過去2年間に発見された脆弱性のバリエーションだと指摘する。問題の根本的解決のためには、グループ化可能な「セキュリティゾーン」の在り方の見直しなど、ブラウザの大掛かりな修正が必要だろう。Microsoftは次期WindowsのLonghornで、こうした問題に対処する計画のようだとラーホルム氏は語っている。

Longhornって、何年待たなあかんねん^^;

さすがにMSも対策を本格化させているようですね。

ITProでの翻訳記事によると、

Microsoftのセキュリティ・プログラム・マネージャであるStephen Toulouse氏は「われわれは,この弱点を利用して実行するプログラムを使うことは犯罪だと考える。利用しているところは,個人であろうと企業であろうと法的な手段に訴える用意がある」という。同氏によると,同社は現在,FBI(米連邦捜査局)と協調して調査を進めているほか,このぜい弱性を修正するパッチを来月の提供日を待たずに提供する見込みだ。

ということです。
「来月の提供日を待たずに」というのも、
悠長に聞こえてしまうのは何故でしょうか^^;

以上、長々とまとまりのない文章ですみませんm(__)m