パスワードを忘れた? アカウント作成
7429 story

重大な脆弱性に対応したIEの緊急パッチリリース 43

ストーリー by wakatono
号外リリース 部門より

Anonymous Component曰く、"Internet Explorer用の緊急パッチがリリースされました。

クロスドメインのセキュリティ脆弱性と呼ばれる今回の欠陥は、 ユーザーがHTMLメールのリンクをクリックしたり、 悪質なウェブサイトを開いたりすると、 攻撃者によってリモートでコードが実行される危険性が有るため、 マイクロソフトでは セキュリティ修正プログラムを直ちに適用するように求めています。

なお、実際のアドレスとは異なる 偽のアドレスをアドレスバーに表示できてしまう欠陥と、 細工されたリンクをクリックすると 勝手にファイルがダウンロードされてしまう欠陥も 合わせて修正されるそうです。

対策はお早めに。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • NT4.0/98SE用 (スコア:2, 参考になる)

    by Fortune (6210) on 2004年02月03日 15時27分 (#487240) 日記
    IE5.5SP2/IE6SP1用にNT4.0SP6/98/98SEへ当てられるパッチも出てますね。

    とはいえ、MSがサポートしてないことには変わらないので、「自己責任で」と言ったところかな。
    • ん?
      先日のライフサイクルの見直し [microsoft.com]で、セキュリティホットフィックスはまだ出るんじゃないの?


      # だよね?>識者
      --
      # 転職しよーか、なぁ。
      親コメント
      • Re:NT4.0/98SE用 (スコア:2, 参考になる)

        by Fortune (6210) on 2004年02月04日 12時01分 (#487985) 日記
        この間の見直しで伸びたのは延長フェーズです。
        で、延長フェーズでは無償サポートは無く、有償のサポート契約して「セキュリティホットフィックス作って~」とお願いしないと作ってくれません。

        t_meatさんがあげているライフサイクルのガイドライン [microsoft.com]にも
        Windows コンシューマ製品のセキュリティ修正プログラムは、最短でもメインストリーム サポート期間終了まで無料で提供します。
        メインストリーム サポートは 2002 年 6 月 30 日で終了、また、無償サポート、およびセキュリティ以外のホットフィックス サポートについては 2003 年 6 月 30 日で終了しています。
        って書かれてますし。

        こっちのページ(その1 [microsoft.com] その2 [microsoft.com])の方が分かりやすいかな?
        親コメント
        • があぁぁん。。。


          。。。やっと理解しました。 メインストリームはとっくに済んでいるのに、セキュリティホットフィックスが出てたから、延長フェーズも無償セキュリティホットフィックスがあるものとばかり勘違いしておりました。

          # やば、ユーザに嘘ついてることになるな。。。_| ̄|○

          --
          # 転職しよーか、なぁ。
          親コメント
    • by Anonymous Coward
      「見つかりまっか?」
      「ぼちぼちでんなぁ」
  • スクロールバー (スコア:1, 参考になる)

    by Anonymous Coward on 2004年02月03日 15時25分 (#487238)
    不自然さが直っているみたいですね。
  • by Asagi (333) on 2004年02月03日 16時13分 (#487281) 日記
    月間アップデートが崩れちゃってますね。予想はしてたけど、10月スタートでわずか3~4カ月しか保たなかったとは。

    #最初からンなこと言わないいのに…
    • by Anonymous Coward
      崩れているわけではないですよ、最初から緊急を要するものは別途リリースすることがあるとアナウンスされていましたから、これも予定のうちです。

      # ただ時期がなぁ…。もっと早めに作れれば1月分に入れられたかもしれないのに。
    • by Anonymous Coward
      > 月間アップデートが崩れちゃってますね。

      MS も緊急のは検討するよと言ってなかったっけ?
      マニフェストじゃないんだから、意地にならず柔軟に対応してくれた方がいいと思うんだが。

      まぁこのままグダグダになるか
      月刊パッチ、たまに号外を維持するのか
      生暖かい目で見守ろう
      • by Asagi (333) on 2004年02月03日 19時52分 (#487488) 日記
        #487295さんのご意見も含めて、MSの言い分は重々承知してるのですが、「今月はなし」→「やっぱ緊急出します」だと、流石にグダグダ感は否めないと言いますか^^;;

        だったら最初から月間なんて言わなくても一緒じゃないかぁ?って思った次第。
        親コメント
    • by Anonymous Coward
      やっぱり無理せず週間アップデートにした方がいいんじゃない?

      #ネタならたくさんあることだし、、、
      #どっちみち明日再インストールからやり直すからいいや。
      • by digoh (17917) on 2004年02月04日 17時09分 (#488409) 日記
        「月刊」と言っておいて時々号外を出せば、
        文句を言う人が少ないんじゃないかと期待。
        (ってこのスレ主は文句を言ってる人なわけですが(苦笑))

        「週刊」と言って出さない週があると、
        文句を言う人が増えるんじゃないかと憂う。

        という思考があったのではないかと推測してみましたが。
        単にパッチを作る人が「月末(締切)間近にならないと働かない」とかだったりして(笑)。
        親コメント
  • by Anonymous Coward on 2004年02月03日 19時16分 (#487451)
    パッチを当てると、保存しておいたBASIC認証のユーザー名とパスワードがリセットされてたんだけど、仕様?
  • 大好評につき臨時増刊号
    --
    1を聞いて0を知れ!
    • どちらかと言うと
      『別冊 マイクロソフト』ですかね。

      でもホントに有料サポートだったらどうなんだろね。
      お金の無い奴等はサポートせんって事になったら荒れるだろうな。
  • by Anonymous Coward on 2004年02月03日 15時10分 (#487228)
    各修正プログラムのダウンロードページに行くと、「公開された日付」は1/20、1/22になってます。
    公開してから検証でもしてるんでしょうか?
    • by Anonymous Coward
      Microsoftが公開日を遡らせるのはいつものことです。
      「俺たちは既にこの日にパッチをリリースしていた」と
      言い訳するためなんだから。

      バイナリの中に記録されたタイムスタンプを見てみたいものだな。
  • by Anonymous Coward on 2004年02月03日 15時40分 (#487254)
    ftp://user@foo/ のリンクも, ユーザ名が削除されてしまいますね.

    うーん, FTP クライアントの使い方を教えるべきか, URL 直打ちしろと言うべ きか...

    パッチを当てるなとは言いたくないしなぁ(悩)
    • by Anonymous Coward on 2004年02月03日 15時50分 (#487261)
      アドレスバーではuser:passwordの部分は削除されますが、
      ちゃんと認証されますよ。
      リンクとショートカットで確認済み。
      親コメント
      • by keis (6580) on 2004年02月03日 17時06分 (#487323)
        > アドレスバーではuser:passwordの部分は削除されますが、
        > ちゃんと認証されますよ。
        > リンクとショートカットで確認済み。

        検証したバージョンを教えてくれませんか?
        ウチのXP+IE6SP1では「無効な構文エラー」となってしまいますが…?

        また、今回の影響はIEプラグインにも及びます。
        例えばMacromedia FlashでloadVariablesメソッドでuser:password@host記法を
        使っていた場合、今回のパッチを適用すると認証エラーとなってしまいます。

        潜在的に影響を受けるシステムはかなり多いのではないでしょうか?
        毎度のこととはいえ、MSは安易な対策(という名のその場しのぎ)がユーザーに
        多大なコスト負担を強いることになることを、肝に銘じて欲しいものです。
        親コメント
      • by kei100 (5854) on 2004年02月03日 15時59分 (#487267)
        そのほうが、ショルダーハック対策にはいいかも・・・?
        # 自宅でなく、いまだ確認できてないのでID
        親コメント
      • by Anonymous Coward on 2004年02月03日 16時29分 (#487291)
        #487254 の AC です.

        私が検証したのは, (ローカルに置いてある)WEB サーバ上のページにあるリン
        クに関してです. 一回目は「ページを表示できません」と表示されます. その
        後, 更新(F5)すると認証されました.
        # 検証不足 & 言葉足らずですね.

        お気に入りなどのリンクは検証してませんでした. フォローありがとうございます.
        親コメント
        • by udon64bit (20085) on 2004年02月03日 16時36分 (#487298) 日記
          直接URLへ、user:password@xxxと入力すると、はじかれるようですね。
          無効な構文エラーとタイトルバーに表示されますた。
          これ使ってる人結構多かったと思いますがね。。。
          セキュリティとユーザビリティの相反する性格がモロに出ていますね。
          両立できないんかなぁ。。。
          親コメント
          • by Fortune (6210) on 2004年02月03日 16時55分 (#487312) 日記
            セキュリティーホールmemo [ryukoku.ac.jp]からですが、MSのサポート技術情報 [microsoft.com]に回避策(?)が載ってるようです。

            それによると
            HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
            に[iexplore.exe]や[explore.exe]のDWROD値を作ってそこを0にすればいいとか。

            その他のプログラムでは、ここにそのexe名のDWORD値を作って1にしないと、今まで通りのようです。
            逆に言うとこの値を1にすればIEと同じ事になると。
            親コメント
            • by unaz (2331) on 2004年02月03日 17時37分 (#487355)
              Windows Registry Editor Version 5.00

              [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE]
              "iexplore.exe"=dword:00000000
              "explorer.exe"=dword:00000000

              ----------
              ご利用は at your own risk で。
              親コメント
          • by Anonymous Coward on 2004年02月03日 16時44分 (#487304)
            #487261のACです。

            ftpとhttpをごっちゃにしていませんか。

            httpについては、この更新で"user:password@"がエラーになるように
            なっています。

            ftpでは、#487261に書いたとおり、ローカルのhtmlファイルからの
            リンクとショートカットで、"user:password@"は従来どおり有効で
            すが、アドレスバーには表示されなくなります。
            また直接アドレスバーに入力しても、接続され、認証されますが、
            アドレスバーからは消えます。

            #487291によれば、ウェブサーバ上のhtmlファイルからのリンクは
            エラーになるようですが、こちらでは確認できる環境がないので
            未確認です。
            親コメント
            • >ftpとhttpをごっちゃにしていませんか。

              申し訳ないです。
              ごっちゃにしてますた。

              >#487291によれば、ウェブサーバ上のhtmlファイルからのリンクはエラーになるようですが、こちらでは確認できる環境がないので未確認です。

              これ検証してみたしたが、httpのときと同じエラーが出ました。
              と思いますが、誰か検証してみた方いらっしゃいますか?
              #厨房なのがバレたのでID
              親コメント
  • by Anonymous Coward on 2004年02月03日 15時58分 (#487266)
    XMLHTTP の “username:password@host.com” URL への接続を許可しません。

    だそうだ Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004) [microsoft.com]

     対策はお早めに。"

    といい切るってしまうのも如何なものかと。
  • by Anonymous Coward on 2004年02月03日 16時32分 (#487294)
    Windows Updateでは検出できないのはなんで?
    教えてエロい人
    # Windows 2000 Professional + Internet Explorer 5.01だけど
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...