現在地 HOME > 掲示板 > IT7 > 265.html ★阿修羅♪ |
|
Tweet |
http://headlines.yahoo.co.jp/ (ヤフーヘッドライン・ニュース)
http://headlines.yahoo.co.jp/hl?a=20050111-00000001-cnet-sci
------------------------------------------------------------------------引用始め
IE6の脆弱性、最高レベルの深刻度に--セキュリティ対策企業が評価引き上げ
MicrosoftのInternet Explorer(IE)に存在する脆弱性を悪用するコードがインターネットで
公開されたことを受け、セキュリティ対策企業は3つの脆弱性について、警戒を呼びかけている。
Secuniaは米国時間7日、IEに存在する3つの脆弱性に対する深刻度の評価を、同社の基準で
最も高いレベルとなる「非常に危険」に引き上げた。Secuniaの最高技術責任者(CTO)
Thomas Kristensenによると、攻撃者がIE 6に存在するこれらの脆弱性を悪用した場合、スパイウェアや
ポルノダイヤラー(ポルノなどの有料サイトに電話をかけるソフトウェア)を、ユーザーのPCに
密かに忍び込ませ、実行させることができてしまうという。
これらの脆弱性のうち、HTML Helpコントロールの脆弱性については、昨年12月21日に
GreyHats Security Groupがインターネットで勧告を発表しており、それとともに実証コードが
公開されていた。「われわれは、実証コードが出回っていること、そしてユーザーが何も
しなくてもそのコードが実行されてしまう可能性があること、という2つの条件をクリアした
脆弱性だけを『非常に危険』と分類している。『非常に危険』というのは、われわれの
評価で最も深刻度が高く、ユーザーに対してはシステムへのパッチ適用を促す最終警告の意味も持つ」(Kristensen)
Secuniaによると、この実証コードの影響を受けるシステムはWindow XPで、Service Pack 2(SP2)が
適用されているマシンも例外ではないという。同社は、Microsoftがパッチを開発するまでは、
予防措置としてIEのActive Xコントロールの設定を無効にしておくことを勧めている。また同社では、
IE以外のブラウザを使うことも対策の1つとして推奨している。
Secuniaが勧告のなかで警告しているもう1つの脆弱性は、HTML Helpコントロールの脆弱性と
ドラッグ&ドロップの脆弱性を組み合わせて悪用すると、リモートPCを攻撃できてしまうというもの。
ただし、こちらはユーザーのアクションがないと機能しない。同社は、これらの3つのセキュリティホールに
関する警告の第一報を昨年10月に発表していた。
「Micorosoftは、このセキュリティホールについて10月から知っていたはずだ。脆弱性が公開されてから
2カ月たっているのに、いまだにパッチがリリースされていないというのは、ひどい話だと
私は思う。(脆弱性の)詳細な情報が公開されている場合は、なおさらだ」とKristensenは述べ、
「Microsoftは現在これら3つの脆弱性の存在を知っており、優先順位を上げて対策に取り組んでいることは確かだ」
と付け加えた。
Micorosoftによると、同社では現在これらの脆弱性に関して発表された様々な報告を調査中だという。
また同社は、パッチのリリースが遅れている理由として、より効果的なパッチをつくるための追加作業に
よるものだと説明している。「セキュリティの問題に対処する際は、スピードとテスト(の完全性)の両方の
バランスが求められる。リリース日が1日、あるいは1週間、もしくは1カ月のびることになったとしても、
Microsoftはしっかりと設計され、できるだけ完全なテストが行われたアップデートしかリリースしない方針だ」
とMicrosoftの関係者は述べ、「不完全なセキュリティアップデートをリリースすると、事態を悪化させることも
ある。新たな問題にハッカーの関心を引き寄せるだけの不完全なアップデートなら、出さない方がましだ」と付け加えた。
MicrosoftではIE 6のユーザーに対して、同社の示すガイドラインをよく読み、インターネットゾーンの
セキュリティレベルを「高」に設定することを推奨している。また同社は、SP2を通して引き続き
セキュリティアップデートを自動更新するようユーザーに呼びかけている。Secuniaでは現在、システムの脆弱性を
オンラインでチェックできるツールをユーザーに提供している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
関連記事
Windowsの新しい欠陥を悪用するエクスプロイトコードが公開に - 2004/12/24 11:59
IEにフィッシングの危険--ActiveXに問題 - 2004/12/20 10:47
IEの脆弱性悪用コードが公開に--ダウンロード警告を迂回 - 2004/11/24 11:36
IEの欠陥をつくエクスプロイトコードが登場--深刻度は最高レベルに - 2004/11/05 10:45
Windowsにまた「緊急」の欠陥--マイクロソフト、7月の月例パッチは7つ - 2004/07/14 11:38
[CNET Japan]
http://japan.cnet.com/
(CNET Japan) - 1月11日8時42分更新
Copyright (C) 2005 CNET Networks Japan K.K. 記事の無断転用を禁じます。
Copyright (C) 2005 Yahoo Japan Corporation. All Rights Reserved.
■CNET Japanニューズレター(無料)
毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。
------------------------------------------------------------------------引用終り