IE5/6でエンバグ、セキュリティホール復活 123
ストーリー by yoosee
またですか 部門より
またですか 部門より
oddmake 曰く、 "ITMediaおよびCNetの記事によると、 IE5.01/5.5/6の脆弱性について米セキュリティ企業Secuniaが警告を発したという。 今回発見された脆弱性のポイントは6年前に発見されて修正された脆弱性であるということ。 Microsoftはセキュリティを最重要課題としつづけているとのことだが、新しい機能や製品を付け加えるだけでなくこれまでのバグフィックスの成果も怠り無く引き継がれるようにしてもらいたいものである。"
当面の回避策としては「信頼できないWebサイトのリンクはたどらないこと」「IE以外のブラウザを使うこと」などがあげられている。これを機に Mozilla や Mozilla-Firefox (まとめサイト) などの Gecko エンジンのもの、ないし Opera 等を試してみるのも良いかもしれない。
1げと (スコア:2, 興味深い)
いじわるだね。
Apache の穴が見つかったときはあんなに優しいのにね。
Re:1げと (スコア:1, すばらしい洞察)
同じ事を懲りずに繰り返せば当然でしょう。
とは言え、1年くらい前は毎週バクってましたから相当な進歩に
見えるような月末アップデート
Re:問題は (スコア:2, すばらしい洞察)
などというグチを聞きますが、それは別にいいんですか?
しかし MS もかわいそうだよね。作ってるソフトが多いから、
全部 MS のせいにされてしまう。
一方オープンソース界隈では mod_ssl にバグが出たら
「それは apache じゃなくて mod_ssl の問題」
apache のバグなら
「それは mod_ssl じゃなくて apache の問題」
OpenSSL のバグなら
「それは mod_ssl でも apache でもなくて OpenSSL の問題」
だもんね。気楽なもんだ。
MS を擁護しろって言ってるんじゃないんだよ。オープンソース
でもあまりにもバグが多ければ批判すべきってこと。
好き嫌いはあろうだろうけど、それは好き嫌いを語るべきところで
言えばよい。良し悪しを語るべきところでは、できるだけ客観的な
視点を持つべきだぜよ。
もし、/. を各自の単好き嫌いを語る場所にしたいなら、今まで通り
「MS だめぽ」
「オープンソースマンセー」
でいいだろうけど、一番読みたいのは「素晴らしい洞察」や
「興味深い」話じゃないの? 違う?
Re:問題は (スコア:1)
かなり古い CSS や XHTML 関係のバグも数年以上手が付けられていないと言うのが多いですし、周知のセキュリティホールでも放置されているものがあります。
最近になって IE チームの再編とかやっているんで、多少はましになるかもしれませんけどね。まぁただ OS core と直接結び付いている Web ブラウザと言うのは、便利に使えることは多いかもしれないけど本質的にセキュアにするのは難しいんじゃないかなと思います。特に根拠が無くて恐縮ですが。
Re:問題は (スコア:1, 興味深い)
俺は良いとは思わないけど、実際に作ってる集団が別なんだから、もしもそうやって開き直られちゃうとどうしようもないですよね。そのあたりが、以前にオープンソース/フリーソフトが業務からは避けられてきていた原因でもあるし、RedHatあたりが「開発は別集団でも、うちが責任もってサポートします」と言って飯の種にしてる点でもあるわけで。
そういう背景も考えずに、都合が悪くなるとすぐに「mod_hogehogeにバグがあってもApache本体には関係無いもんね~」みたいなクダラナイ責任逃れを言い出す輩がいるから話がややこしくなるんですよね。開発者としては「別集団の開発してるモジュールまでは知りませんがな」ってのは本音でしょうけど、ある程度メジャーなモジュールとか、自分が依存してるライブラリなんかについてはバグが出たら何かしらの対処やアナウンスをするべきだし、実際、メジャーどころのプロジェクトは。その程度のことをやってるように思えます。
ってことで、開発者側の問題じゃなくて、オープンソースに肩入れしすぎてるアホユーザの存在によって、オープンソースが無責任なソフトに見えてしまうことが問題かと思います。
Re:問題は (スコア:1)
別に MS じゃなくても叩かれてますし、しかし叩いたとしてもたいして何もかわらないのも OpenSource も MS も同じ。
ただ OpenSource は多くの場合「代替」があったりして「駄目なソフト」は淘汰される(wuftpとかsendmailとか)事になる。また最悪、自分でどうにかすることも不可能では無い。MS は独占が強すぎる故に「捨てる」選択肢をとりにくいし、基本的には MS が修正するのを待つしか出来ないので余計に叩かれる(何も出来ないので叩いてストレス発散するくらいしか出来ない)ことになるのではないでしょうか。
Re:問題は (スコア:2)
#単にMS叩けば良いだろ、的なものって見たくないですよ。
根拠の無い批判なら誰だってできるんですから、わざわざ見る必要も無い。
ところで、今回の問題で Mozilla Firefox 0.x が対象に上げられていますが、
実際に Secunia のデモページで試したところ、最新の0.9(0.9.1)では
この問題は起こらないようです。(試したのはWindows版)
Re:問題は (スコア:1)
Re:問題は (スコア:1)
個人的には叩くコメントが増えるよりは解決策や回避策で盛り上がって欲しいなと思いますが(その方が読む分には情報量があるので)、ちゃんと理由を書いた「叩き」コメントも有益だとおもってます。どのみちどんなコメントでも別に構わないとも思いますけど。
# 『またMSか』だけなコメントだとなんですけどねぇ
Re:問題は (スコア:1)
そうそう、朝っぱらから皆でスローガンを唱和するとか、ありますよね(所によっては違)
Re:そういえば (スコア:1)
「品質管理システムは機能していない」のが分かったから登録停止ってのは、結局ISO9001が品質管理の向上・維持になんら寄与してないってことじゃないの?
本来なら、監査の過程で発覚してしかるべきなのに。
Re:1げと (スコア:1, 興味深い)
>脆弱性をほったらかしにしない。
Operaのことでしょうか?(苦笑)
Mozilla系はともかく、Operaを安易にIEの代替に薦めたがる人が多いのがなぜか理解できません…
Operaを安易にIEの代替に薦めたがる人 (スコア:1)
選択肢にならないのでは?
Re:1げと (スコア:3, すばらしい洞察)
Re:Apacheの脆弱性 (スコア:1)
ProxyならふつーSquidにする。
Apacheのhttpd機能やmod_perl, mod_php等に問題があったなら
もっと大騒ぎになってる。
ちょうど、Firefox0.9.1がリリースされました。 (スコア:2, 参考になる)
そのほかにも、オンラインバンキングのパスワード盗むIE用malware [slashdot.org]
も登場していますね。
MSはあまりにもIEをほっときすぎたのではないかと思う。
今後少し改善されそうな動きは [slashdot.org]ありますが。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
356個のマーチ (スコア:2, おもしろおかしい)
3個治して2個戻る...部門より
そして、 (スコア:2, おもしろおかしい)
Re:そして、 (スコア:2, おもしろおかしい)
#恐らくその日も死んでいると思いますが。
いえいえ (スコア:1)
#なんだ、オリンピック需要って
/* Kachou Utumi
I'm Not Rich... */
Re:いえいえ (スコア:1)
あれはシステム開発担当者も大変だったろうなと思う(笑)
-- To be sincere...
Sleipnir 1.61以降ではGeckoエンジンが使用可能 (スコア:2, 参考になる)
インストールが終わったらIEのActiveXエンジンからGeckoエンジンへと切替が可能となります。
Super Souya
画面写真 (スコア:2, 参考になる)
さすがにこんなの見せられたらヤバイと思うよね。
Re:画面写真 (スコア:5, 参考になる)
Safari 1.2.2も同じくこの現象が見れると言うのでデモページで試してみました。
いきなりこういう表示に出来ると言うより、「ちょっとちょっと、そこに表示してどうするのよ」って感じです。<いきなり表示させる手法もあるのでしょうけど…。
新しいウインドウに対してであれ、同じウインドウ内の別タブに対してであれ動いちゃったのですけど、
実はデモと同じHTMLの記述を「わざと」やっていた事があります…。<昔ですけど…。
勿論、「悪意」があってそうしていた訳じゃなくて、間違えて書いたものをテストしてみて、
結果が面白かったので利用してみたと言う感じです。
Geckoエンジンのブラウザで試すと、まずい書き方をしているリンクをクリックしても何も起こらず、
コンテキストメニューから「新しいウインドウ/タブで表示」を選択する事でアクセスする事は出来るみたいです。
<「騙す目的の表示」にはならない。
と言う事で、IE/Windowsユーザーのみならず注意する必要はあると思います。
Secunia.comのアドバイザリー [secunia.com]より以下抜粋
上記に同じ脆弱性が確認され、他のバージョンにもあるかも知れないそうです。
また、影響を受けないブラウザとして
が挙げられています。
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
Re:画面写真 (スコア:2, 参考になる)
- Mozilla Firefox 0.9 for Mac OS X
- Mozilla Firefox 0.9.1 for Mac OS X
を挙げておきます。テストは Mac OS X 10.3.4 上で行いました。Re:画面写真 (スコア:2, 参考になる)
Secunia謹製のテストページ [secunia.com]もあるので是非チェックを.
なんて記述もあるので,アクセスしたら自動で「別ウィンドウを開いて騙しフレームを突っ込む」ページは作れそうですねぇ.
信頼できないWebサイトのリンクはたどらないこと (スコア:2, 参考になる)
(JscriptないしJavaScriptを無効にしていても)
Aタグのリンクにマウスオーバーした時のステータスバーに
リンク先URLとして、さも信頼できそうな情報が表示されるように
捏造されえることは既にちょっと前に報道されている通りです。
それどころか、オンマウスダウンの瞬間でもステータスバーに
さも信頼できそうな情報が表示されっぱなしな穴があるというのに。
IEにおいて、何をもってして
「信頼できないWebサイトのリンクはたどらないこと」
なのでしょうか。
アドレスバーに直接手打ちでURLアドレスを打ちこむほか
ないですよ。secuniaもそのように言っています。
| 慈愛こそ慈愛
Frame Spoof(いたずらフレーム)問題 (スコア:2, 参考になる)
アプリのマイナーアップデートで一度修正されたはずの問題が再現してしまうのは多々あることだとは思いますが,6年前に埋められたはずのセキュリティホールが再現してしまうなんて,さすがInternet Explorerだなと思いました。もしかしたらMozilla 1.xでも再現したりして(笑)
# ちなみに今はMozilla FireFox 0.9 for OS/2でアクセスしてます。
Re:Frame Spoof(いたずらフレーム)問題 (スコア:2)
Mozilla 1.7 以上と Mozilla Firefox 0.9 以上使ってるなら大丈夫そうなのですが。
## Secunia の記事をよく読んで欲しいので +1 ボーナス消費。
Re:Frame Spoof(いたずらフレーム)問題 (スコア:1)
ともかく、Opera や Safari, IE for Mac, 古いバージョンの Mozilla, Mozilla Firefox なども影響を受けそうなので、IE だけの問題ではないです。
ひとまずの対策? (スコア:2, 参考になる)
インターネットオプション→セキュリティから、レベルのカスタマイズで
「異なるドメイン間のサブフレームの移動」を「無効」にすると、
少なくとも Secunia のテストページは問題なくなるようです。
# 他に抜け道があるやもしれませんが……
Firefox0.9.1では、この辺がデフォルトになっているようなので、発生しないみたいですね。
# っていうか、T.MURACHI さんの #581016 のコメントを見て、このことに気づいた(汗)
一瞬 (スコア:1, すばらしい洞察)
コピペネタかと思タ
Re:一瞬 (スコア:1, すばらしい洞察)
# パソコン中毒症の俺曰く
Re:一瞬 (スコア:1)
#出不精のわたし曰く
#誰ですかデブ症なんじゃないのとか言ってるのは
#その通りだよちくしょう
Re:一瞬 (スコア:1)
Re:一瞬 (スコア:1)
#退職願出しているんだからいい加減やめさせてくれよ…。
Re:一瞬 (スコア:2, おもしろおかしい)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:一瞬 (スコア:1)
#ますます煽るぞ!
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
逆行 (スコア:1, 参考になる)
逆行かもしれんが、私はMozillaからIEに完全移行しちゃいました。
画像掲示板をよく見てるんだけど、そういう掲示板で画像をたくさん
見てると、Mozillaはフリーズしたようになって動作がおかしくなる
ことが多々あったもんで。
対処の仕方もわからんし、IEだと大丈夫なんでVer.1.X以来使ってきた
Netscape/Mozillaにサヨナラしました。
Re:逆行 (スコア:2, 参考になる)
今firefox0.8で調べたら問題無いように思えます。
1.4ではそうだった (スコア:2, 参考になる)
Win9xだとGDIリソースが食い尽くされてすぐ表示が乱れるのでよくわかる。
因みに、1.6では治ってるぽ。
--
Ath'r'onならfloatあたりに自信が持てます
「IE5/6でエンバグ」? (スコア:1)
エンバグ:バグを作りこむこと.
という意味では,エンバグしたからバグがあるわけで,こんな言い方を敢えてするのは何故だろう?
エンバグ:デバッグしてたら別のバグ作りこんじゃった [geocities.co.jp]ような時に使うかも.
でも,このストーリーでは,そういう話じゃなさそうだし.
あー,『今回発見された脆弱性のポイントは6年前に発見されて修正された脆弱性』から来ているのかな.
それは,「デグレ」って言うんじゃなかろうか.
上記2番目のエンバグ用法から,エンバグの意味が派生している??
この辺りの用語の意味って,会社やプロジェクトによって違ってたりしますよね.
Re:IEはもうだめポ (スコア:2, 参考になる)
ActiveXの最大の問題点は「実質的にWindows以外では使えない」点ですから。
Re:IEはもうだめポ (スコア:1)
Webに関係ないんじゃないかな。
普及するかどうかはマイクロソフトしだいという
感じがする。
IEのセキュリティも、WidnowsXPSP2がリリースされたら、
向上するといわれてるし。
ただ、次のIEのメジャーアップデートがロングホーンに
なるってのは、あまりにも遅い気がするけど。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:IEはもうだめポ (スコア:1)
>向上するといわれてるし。
まあ、SP2RC1 の IE で、環境によっては「ダウンロードできない」ってなかなか豪快なセキュリティ強化(違 があったけどね。
99% までダウンロードが終わってそのまま止まるとか、
ダウンロードしたファイルが Temporary Files フォルダにできた瞬間に消えるとか。
※SP2RC2 ではさすがに直してきたが
基本的には「MIME type を確認するようになった(内容と一致していない MIME type のものはダウンロードできない)」「デフォルトで自動インストール無効」「CD-ROM などの HTML からはデフォルト制限がきつくなった」くらいで、あまり強化されたという気はしないですね。
-- To be sincere...
2個1 (スコア:1)
#両者とも良い所と悪い所があるので。
Re:林家正楽状態 (スコア:1)
IEの中にbugが一つ
bugをなおすとbugが二つ
もひとつなおすと bugが三つ
とは違うんですよね?
Re:林家正楽状態 (スコア:2, おもしろおかしい)
粉々になると子供心に思っていたのは私だけですか?
And now for something completely different...
Re:林家正楽状態 (スコア:1)
三個直してニ個増やす♪
#トータルで一個減ってるからいいのか
Re:みんな!ブラウザーを放棄しよう!! (スコア:1)