現在地 HOME > 掲示板 > IT1 > 450.html ★阿修羅♪ |
|
http://japan.cnet.com/news/ent/story/0,2000047623,20060520,00.htm
2003年8月21日(木) 14時39分
米Microsoftは20日(米国時間)、PCユーザーに対しInternet Explorer(IE)とWindowsに存在する重大なセキュリティ上の欠陥を警告した。
Microsoftは今までに公表されたいくつかの脆弱性を修正するIE用の累積的な修正パッチを公開した。また同社製SQL Serverソフトウェアに関する、多くのWindowsユーザーにも実質的な影響がある欠陥についても指摘し、アドバイス情報を再公開した。
パッチをあてていないユーザーは、悪意のあるウェブページ閲覧や、ウイルス感染を広めるコードが含まれているHTML形式の電子メール受信により、コンピュータが感染する危険がある、とMicrosoftセキュリティレスポンスセンターのセキュリティプログラムマネージャーを務めるStephen Toulouseは言う。
「IE用深刻度の4段階評価システム上、Windows 2003を除いた全てのオペレーティングシステム(OS)において、これは[緊急]評価だ」とToulouseは語る。この評価は同社の警告評価上、最も深刻なレベルである。一方、最新OSであるWindows 2003では、4段階中の最も軽微なものから2番目の[警告]評価となっている。
だが、いくら緊急評価の欠陥でも、これら最近の脆弱性は、ワーム作成者の餌食になる可能性は薄い。その攻撃者が所有するウェブページにまずアクセスしないと、被害も生じないためだ。
IEの脆弱性は、ウェブ閲覧の際に送られてくるウェブサーバからのデータ内容の種類を確認する仕様になっていないことが関連している。Microsoftがそのアドバイス情報http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-032.aspの中で触れているように、IEブラウザーが持つクロスドメインセキュリティモデルの欠陥が原因している。
今回のもう1つの重大な脆弱性http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-040.aspは、全てのWindowsバージョンに影響を与えるもので、MicrosoftのSQL Serverの脆弱性の問題と考えられたが、実際にはどのWindowsにも含まれているMicrosoft data access component (MDAC)の欠陥だった。Windows 2003のデフォルト状態ではこの脆弱性を持つソフトウェアはインストールされない。だが、ユーザーがそのプログラムをダウンロードし追加インストールが可能なため、脆弱性の問題が生じる危険がある。
一方、これら重大な危険性を持つ脆弱性が指摘されている中でも、Windows 2003への影響が比較的軽度なのは明るい希望だとMicrosoftのToulouseは指摘する。「これは(Microsoftが提唱する)『Trustworthy Computing』による進歩を示していると思う。OSの初期設定はよりセキュアになっている」(Toulouse)
関連記事:
「よい」ワームと悪いウイルスで企業ネットワークにダブルパンチ
http://japan.cnet.com/news/ent/story/0,2000047623,20060486,00.htm
大量の電子メールを送りつけるSobigウイルスの強力な新亜種が登場
http://japan.cnet.com/news/ent/story/0,2000047623,20060487,00.htm
パッチを充てて自己消滅するMSBlast亜種ワーム
http://japan.cnet.com/news/ent/story/0,2000047623,20060487,00.htm
________________________________________★結局、どうしたらいいのかよく分からない。