パスワードを忘れた? アカウント作成
Close
6374 story

IEに「緊急」の脆弱性、任意のコードが実行される恐れ 275

ストーリー by yoosee
またかと愚痴る前に穴をふさごう 部門より

78K 曰く、 "ZDNetの記事によると 20日、Internet Explorerにおいて2 つの脆弱性が発見された模様。
1つはWebサーバから返されるオブジェクトの種類を適切に確認せず、攻撃者のサイトを訪問すると任意のコードが実行される可能性がある、というもの。
もう1つはクロスドメインセキュリティモデルに関連した脆弱性で、ブラウザのキャッシュからファイルを取得する際に異なるドメインの情報にアクセスし、最悪の場合 My Computer 領域で悪意のあるコードを実行される可能性がある、というもの。この2つの脆弱性については既に 累積パッチ(822925) (MS03-032)が出ている。
また Microsoft は同日、 Microsoft Data Access Component(MDAC) に含まれるバッファオーバーラン脆弱性についても「重要」の警告を発している。これも既にパッチ (823718) (MS03-033)がリリース済みである。

つい先日 MSBlast の一件があっただけに、また近いうちに Windows Update してまわる日がやってくるのではないかと気の小さい私は心配してしまいます。今よりもっと広く一般の人がセキュリティというものについて深く関心を持って頂ければ幸せになれるかと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEに「緊急」の脆弱性、任意のコードが実行される恐れ More

  • 関心はあっても。。。 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2003年08月22日 1時07分 (#383254)
    関心はあっても、

    「何をすればいいの?」

    で止まってしまうという落ち。

    • 何をすればいいの? (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2003年08月22日 1時45分 (#383285)
      Windows 止めればいいと。
      シェア
      親コメント

  • KDE (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2003年08月22日 1時34分 (#383273)
    やばい!早くWindowsUpdateしなきゃ!
    あ、あれ、あれ?WindowsUpdated、どこー!

    …あ、そういや、これKDEだっけ。

    と、慌ててる人も増えてますよね?

    # あくまで自分だけではないと思いたいのでAC
  • つい先日 MSBlast の一件があっただけに、また近いうちに Windows Update してまわる日がやってくるのではないかと気の小さい私は心配してしまいます。

    とおっしゃっていますが、近いうちなんて言わず、今、みんなにWindows Update してもらうのがいいのではないかと思いますよ。 MSBlast 騒ぎのおかげ(?)で「パッチってなに?」という状態から少しは勉強した(少なくともうちの部署では「ウィルス対策だけじゃだめ」とわかってもらえた模様)と思うのですが。

    といいつつ今日のところは、自分のPCはパッチをダウンロードしてローカルに保存しただけ。代わりに共用マシンにパッチをあててしばらく様子を見よう、という魂胆…。
    --
    ちどりの「ち」きっての「き」…

    • 「使用承諾契約書」が一つの障害 (スコア:5, 興味深い)

      by monaoh (12125) on 2003年08月22日 3時21分 (#383347)

      母から聞いた話。近所の主婦仲間らしいのですが、MSBLAST関係のニュースに慌ててアップデートしようとしたらしいのです。 ところが、そこに現われた「使用承諾契約書」にびっくりして、PCが壊れちゃいけないとばかりに慌ててキャンセルしたんだとか。

      考えてみれば、この「使用承諾契約書」などという概念自体、およそ一般の家電等とはかけはなれた存在であり、PCについて無知なユーザにとっては異質なものなんだなと思いました。

      私の友達でもないので、気にせずに「同意する」を押せ、とも言えず… でも、全部読んで理解して「同意する」を押せ、と言ったらパッチ当てない人が増えそうな気がします。どうすりゃいいんだろ?

      シェア
      親コメント

      • Re:「使用承諾契約書」が一つの障害 (スコア:2, 興味深い)

        by Anonymous Coward on 2003年08月22日 4時17分 (#383359)
        こういうことがあるたびに感じるんですが、
        通常の商品であれば求められる製造者責任が問われないで済んでいるにもかかわらず、
        一方で、異様にあれやこれやの権利ばかりが主張されてるってのは、
        やはりバランスを失してるといわなきゃいけませんよねぇ。

        バグやセキュリティの問題が近未来的にも排除できない
        つまり、通常の荷電、もとい家電のような責任を果たし得ないのであれば、
        ソフトウェア稼業の権利主張はもっと謙虚であってしかるべきだ
        と考える人はもっともっといていいんじゃないですか。

        こういうアンバランスが、無保証でも
        FLOSを好意的に受け止める人たちを増やしているんだ
        ということを、ぼろ儲けしてるソフトウェア稼業の人たちは
        きちんと反省していただきたいなぁ。下らない、フリーソフトウェア叩きなんぞは止めにして……。

        ;; どうせこういうことを書くと反MS厨とかの
        ;; オトンチキな反応が返ってくるのが目に見えているのでAC。
        シェア
        親コメント

        • 同感。

          おふとぴだけど。

          PC(もしくはコンピューター)業界だけ通じるおかしな慣習(と言うか悪習)は、ソフトウェアだけでなく、ハードウェアにも言える事。どちらも、そうした悪習がめぐりめぐって、開発現場に他の職種ではあり得ない負担となって降りかかってくるのが現状。

          それが製品そのものにも影響するんじゃないかなぁ。

          パッチをあてるって習慣が生まれなかったのも、どこかで、ソフトウェアってものが誤解された結果なのじゃないかとも思う。

          ビジネスモデルを変えると言われるIT業界が、信じられない悪習に慣れてしまっている部分があるのは皮肉だと思わずにはいられない。

          シェア
          親コメント

          • 考えてみれば… (スコア:1)

            by coco-natade (13903) on 2003年08月22日 7時05分 (#383392)
            >PC(もしくはコンピューター)業界だけ通じるおかしな慣習(と言うか悪習)は、
            >ソフトウェアだけでなく、ハードウェアにも言える事。

             CCCDも同じ穴のムジナ。
            今のPCで言われる「相性問題」論を、すべてがPCユーザーとは限らないCDにもちこんだのがCCCDなのでは。
            「家電」としてCDプレーヤーを使用している人がCCCDを再生しようとして不具合が生じても、「相性問題です」では承知しないでしょうし。

            …と、ふと思いました。

            #そのうちDVDビデオレコーダーもそうなったりして。
            シェア
            親コメント
        • 誰も書いて無いからリンク。

          SNSポリシーに関する意見 [lac.co.jp]

          最近各所で話題。(法律娘とか
          シェア
          親コメント

      • そもそも「パッチ当て」自体が障害 (スコア:2, 興味深い)

        by CryptoOwl (14603) on 2003年08月22日 6時21分 (#383386)

        メールやウェブ、MS-Officeぐらいしか使わない一般ユーザにとって、パッチ当ては家電製品を自分で修理するのと同じように感じられると聞いたことがあります。

        家電製品で言えば「欠陥があったら部品を拾って自分で修理しろ」と言われるようなものですから、一般ユーザに「一歩間違えたらパソコンが壊れてしまうかも知れない、だから自分でやるのは怖い……」と思われても仕方ないところでしょう。

        パッチ当ては「修理」ではなく、「手入れ」のようなものだと思えるような啓蒙(とUIの改良)が必要なのでしょうね。

        シェア
        親コメント
      •  最近の新聞の読者欄に興味深い投書がありました。

         要約すると、
        「どうしてマイクロソフトはウィルス等の情報告知をマスコミに頼るのか。
        特に最新のWindowsは、ユーザー登録なしでは使えないのだから、マイクロソフトは責任を持ってユーザーに告知すべきだ。」

        …どうやら、「ハードウェア認証」を「ユーザー登録」と勘違いしているみたいです。

         ま。無理もないでしょうが、そういう「(技術的に)無智」な人にも売り付けていることを、マイクロソフトは認識して欲しいなと。
        シェア
        親コメント
      • > どうすりゃいいんだろ?

        自動アップデートにして、使用許諾は見てない・同意してないと言い張る。
        シェア
        親コメント

    • Re:いや、恐れるんじゃなくてほとぼりさめる前にUpdat (スコア:3, 興味深い)

      by Anonymous Coward on 2003年08月22日 3時01分 (#383339)
      > とおっしゃっていますが、近いうちなんて言わず、今、みんなに
      > Windows Update してもらうのがいいのではないかと思いますよ。
      > MSBlast 騒ぎのおかげ(?)で「パッチってなに?」という状態から少しは
      > 勉強した(少なくともうちの部署では「ウィルス対策だけじゃだめ」と
      > わかってもらえた模様)と思うのですが。

      似たような騒ぎはcodred、nimda、klez、slammerなどなど
      今まで何度もあったんですけどね。
      その都度「パッチってなに?」という状態から少しは勉強したんですけど、
      数日で完全に元通りの考え方になるのがそういうタイプの人達。
      学習能力がない人はまるっきり同じ過ちを何度も繰り返すので
      「今度ばかりは懲りただろう」と何度も思うことになりますよ。

      風邪と同じなんですよ。
      一回風邪を引いて懲りたからといって
      それ以降毎年冬は乾布摩擦するという人ばかりじゃないです。
      Windowsユーザーにとってのパッチはまさに乾布摩擦。
      そして早寝早起きと適度な運動。
      みんながみんな健康のためにそういう活動を続けてるわけじゃないし
      それどころかできているのは少数派。
      「興味がない」「技術的な基礎知識がない」「罰則がない」
      これだけ揃っている状況で「ちゃんとやれ」と命令しても
      期待通りの効果はないです。
      大抵の人間は何度風邪を引いてもまた繰り返します。

      一番危険な要因は、今まで大流行したワームのほとんどが
      破壊活動をしていないということ。
      壊さないワームに慣れているものだから
      「どうせ次感染しても、またワクチン入れたら解決でしょ。
      被害なんてほとんどないし」と甘く見る。
      こういう「優しいワーム」に慣れてしまうのが危険。
      msblastとwelchiaなんてそういう慣れを促進させるための罠として
      効果を上げています。
      「パッチなんて感染してから対策しても遅くはない」
      という信念を持っている人の中にはmsblastとwelchiaの騒動で
      さらに信念を強めている人もいます。
      そういう人が考えを改めるには破壊性の高いワームに感染して
      被害を受けるしかありません。
      「馬鹿につける薬はない」「馬鹿は死ななきゃ治らない」
      というのはまさにこのことだなと実感です。
      シェア
      親コメント

    • Re:いや、恐れるんじゃなくてほとぼりさめる前にUpdat (スコア:1, 参考になる)

      by Anonymous Coward on 2003年08月22日 2時00分 (#383296)
      ADSLにしてから自動更新機能をonにしていると勝手にパッチを当ててくれるので
      「楽になったなぁ‥」と思っているのは少数なのかな?と今回の騒ぎを見て
      思ってしまいました。(Win2000等は折角機能としてあるのにね)

      #正確には自動ダウンロードでパッチ当てる前に確認アリ、の設定ですが。完全自動は信用してないので。
      シェア
      親コメント
      • (Win2000等は折角機能としてあるのにね)
        「パッチを転送して通知する」な設定にしていたことがあります。 が、Administrator になるのは電源落とす際の一瞬だったためか、 通知に気付くことがなく、結局止めてしまいました。 今は、「別ユーザーで実行」を毎日手で走らせるようにしてます。

        パッチ当てまで自動でやるようにしておけば、 裏ですべて自動でやってくれたんだろうか…

        シェア
        親コメント
      • 今の職場、完全自動の設定になっていて、しかも一般ユーザは Admin になれない設定(管理部署が完全管理)。そこまではいいんですが、自動で勝手に Windows Update されると、職場にある何百台の PC が一斉に Update 。当然、ネットワーク大渋滞。さらに、ほぼ同時に再起動。このため、共通で使っているグループウェアのサーバへのログインアクセスが同時にかかるため、みごとに止まります。

        管理部署はその方が楽なんだろうが、もうちと使う身になってほしい。
        シェア
        親コメント
        • 管理部署がバカなのではなくて、管理部署が使っている管理ツールが 一斉updateしかできないのかもね。 深く考えずに作ると、一斉check、一斉updateにしてしまって サーバがあっぷあっぷする。windowsに限らず、linuxでも 某所で一斉rsyncでサーバがあっぷあっぷしているという事例があるし。 管理ツール設計者の技量が問われるって事ですか。
          シェア
          親コメント
    • みなが Windows Update をすることで,Windows Update への負荷がかかり,
      Windows Update のサイトがダウン...

      フェイル セイフ なウィルスソフト,っていうのもなかなか格好良いですね
      シェア
      親コメント

  • パッチの自動適応 (スコア:2, すばらしい洞察)

    by rti (659) on 2003年08月22日 4時57分 (#383366) ホームページ
    パッチの自動適応とかあれば大丈夫なんだろうけどな。
    ただ、それをするとパッチを当てたら不具合が出たという現象が起きて
    しまうと、何もしていないのに勝手にパッチをダウソされてPC壊れちゃったYO。
    という人も出てくるだろうから、難しい。

    これを解決する手段として、まったく同じ環境の毒見してくるPCを用意して、
    そいつにパッチを食べさせて大丈夫だったら本体に適応、つーことが考えられる。
    んで、この情報をやり取りをするプロトコルを作って(CDDB見たいなもん)共有し、
    そこの鯖に現状の状態を送ると、適応しても大丈夫なパッチ、危ないかもしれないパッチと、
    出てきてインストールされるのはどうだろう。
    初心者用に「安全なパッチは自動的に適応する」チェックがあってもいいかも。

    適応したあとは、大丈夫だったか? という情報を集めたり、
    「このパッチについてのレビューを書きませんか(w」として、
    情報をさらに多く集約する。

    当然、これをやるには、メーカとユーザが協力しなくては出来ないけど、
    完璧に動作すれば既存のセキュリティホールにおびえなくても済む?
    --
    by rti.

    • Re:パッチの自動適応 (スコア:2, 参考になる)

      by Joga (8113) on 2003年08月22日 7時21分 (#383397)
      > パッチの自動適応とかあれば大丈夫なんだろうけどな。

      すでにあるってば。
      http://www.microsoft.com/japan/windowsxp/security/au.asp
      ↑はXPの例だけど、2000にもあるよ。
      #企業向けにはちょっと違うものがあるらしいが、管理者じゃないのでよく知らん。
      シェア
      親コメント

      • Re:パッチの自動適応 (スコア:2, 参考になる)

        by unagi (2663) on 2003年08月22日 9時09分 (#383446) 日記
        私も今試してる所なんですが、企業向けはこれですね
        Software Update Services
        http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp [microsoft.com]

        管理者によって選ばれたパッチだけ各クライアントに適用したりできます。
        裏で勝手にパッチあてて勝手にリブートしたりいろいろいじれるみたい。

        ただ、更新に対してクライアントが反応するタイミングがいまいち分からない・・・
        シェア
        親コメント
  •  そういうワームもあるが、
    穴を強制的に埋める方法を用意すべきか?
    既知のセキュリティホールをnヶ月以内に
    修正しない使用者は刑事罰などのペナルテイを科すとか。
    ……セキュリティホールの定義が問題かも……
    ハニーポットとかあるしなぁ。
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ

  • ダイアルアップ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年08月22日 5時55分 (#383381)
    によるインターネット接続しかできなければ適切なタイミングでのパッチ当てが不可能であり、Windowsを使用することは不適当です。という事実をMSが認めるのはいつの日だろうか?

    一日に何度も更新されるウイルス駆除ソフトのデータや巨大なサービスパックのダウンロードをダイアルアップ環境しかもたないユーザーに強いるのは酷ではないかと思う日々であります。

    • Re:ダイアルアップ (スコア:1)

      by SHNSK (10099) on 2003年08月22日 8時37分 (#383429)
      良く思うのですが,ブロードバンド経由で常時接続ではないユーザって,
      今風のウィルスやワームの被害にあうのですか?
      シェア
      親コメント

    • Re:ダイアルアップ (スコア:1)

      by Ying (4319) on 2003年08月22日 10時09分 (#383506)
      サービスパックならCDを税込\1050-で購入可能ですが。

      というか、毎回こまめにパッチを当てていればそうたいした量にはならないと思うんですが。
      OSインストール直後のアップデートの量の話でしたら、別にWindowsに限ったことではないと思いますし。

      #ADSL不調でしばしばAir"H32kでパッチを当てているのでID

      シェア
      親コメント
  •  ダウンロードサイトから「Japanese」を選択しても「English」を選択しても、「Go」を押したら一瞬だけ次のページが表示されてすぐ「ページを表示できません」。

     なんで?
    (午前6~7時現在)

    #「一瞬だけ表示」って、いつから「モグラ叩き」になったんだ?

  • 週刊セキュアWindows (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年08月22日 9時12分 (#383448)
    週刊セキュアWindows・・・全XXX巻で安全なWindowsが完成します。
    今週号の「週刊セキュアWindows」は、クロスドメインセキュリティ対策と、MDACのバッファオーバーラン脆弱性対策です。
    創刊号は特別価格25800円(Home Edition) [impress.co.jp]。お近くのパソコンショップでお求めください。なお、第2巻以降はブロードバンドでのご利用のみ [microsoft.com]となっておりますのでご注意ください。

    #BLASTER対策のパッチはほんとは先月 [srad.jp]なんで「月刊」が正しいんだろうけど、1つの脆弱性で2度騒がれるので感覚的には「週刊」なんだよなぁ。

  • 任意のコード (スコア:1)

    by snurf-kim (10835) on 2003年08月22日 10時33分 (#383537) 日記
    SSTP [punimoe.nu]対応?

    #使い回しネタなので\e
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家