パスワードを忘れた? アカウント作成
8662 story

号外・月刊WindowsUpdate登場 63

ストーリー by GetSet
IE使いも、そうでない人も忘れずに 部門より

kei100(酔っ払い)曰く、"MSN コンピュータ・アラートで気づきましたが、以前メディアへの予告にあったようにMS04-025 Internet Explorer 用の累積的なセキュリティ更新プログラムが提供開始されました。
この修正プログラムを導入する事によって、

  • Download.Ject根本的な対策
  • 不正なBMP画像でバッファオーバーフローが発生
  • 不正なGIF画像のダブル フリーが発生
という上記3つの問題が解消するようです。
なお、以前に出たフレーム詐称問題設定で回避できる(2004.07.12 追記:参照)とのことですので、こちらも忘れずに(参考:窓の杜の記事
他のブラウザへの乗り換え推奨も良いですが、忘れずにIEのパッチもきちんと適用しておきましょう。なるべく冷静に議論が進められる事を望みます。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Mozilla / Mozilla Firefox "onunload" SSL Certificate Spoofing [secunia.com]
    Mozilla / Mozilla Firefox User Interface Spoofing Vulnerability [secunia.com]

    ただCNET [cnet.com]の記事によれば、

    より安全な選択肢としてMozillaベースのブラウザに注目するユーザーは、乗り換えをあと1週間待ったほうが良いかもしれない。
    とあるのですが、高いシェアを背景にIEを標的にした悪意のあるサイトが多いご時世ですから、いくつか新たな未解消の脆弱性がMozillaに見つかったからといって、「乗り換えの延期」を薦めるどうかとも思いましたが。 こういうサイト [safecenter.net]も世の中にはありますし・・・。

    # ただ今後Mozillaが普及していくと、Mozillaユーザーも狙うサイトが出てくるのかもしれません。

    • 12160の方は既にタレ込んでいるのですが、未だに審査待ちですねぇ…
      12188と絡めて改めてタレ込んでみようかとも思ったのですが、そもそも12160をタレ込んだのは「2004-07-29 15:11:15」(この時点で既に数日経過した古めのネタだったハズ)でしたのでどうも編集サイドで止めているッポイ気がするのでやめておきました。

      パッチが出るまで止めておきたいのかもしれませんが、ソレって違うだろ、という気がしましたのでここら辺で愚痴っておきます。
      --
      -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
      親コメント
  • ブラウザを乗り換えたからといって、IEは依然としてOSの中核にたたずんでるわけですし、世の中にはIE利用アプリなんかもありますね。
    うっかりってこともありますから、念のためアップデートしておきました。
    • Re:ところで (スコア:2, 興味深い)

      by Anonymous Coward on 2004年07月31日 22時06分 (#599043)
      この所セキュリティに関するタレコミが採用されてるけど

      Proxomitronの作者が亡くなっていた(享年36歳)
      というタレコミが採用されないのはどういう事なのだろう。
      デマだというウワサでもあるのかしら。
      http://www.pluto.dti.ne.jp/~tengu/proxomitron/
      http://d.hatena.ne.jp/keyword/Proxomitron
      親コメント
      • by Anonymous Coward
        Proxomitronというソフトウェアがそれほど有名ではないからでは?
  • IE5.5SP2 (スコア:2, 参考になる)

    by ex (1307) on 2004年07月31日 15時12分 (#598909) ホームページ 日記
    IE5.5SP2のサポート続いてますね。
    ありがたいことであります。
    全体としてはIE6よりマシなブラウザだと思うので
    古いマシンに関しては、できればIE6よりも5.5SP2を
    使いたくあるのです。
    IE以外だと社内システム動かないし。
    • by ten (14125) on 2004年07月31日 19時54分 (#599005)
      Windows2000 Pro SP4のマシンでは、
      Windows Update経由ではIE5.5 SP2のパッチは出てきてくれませんでした。
      しょうがないので手動でダウンロードしてきてパッチをあてましたが、
      ダウンロードページのパッチの対象OSの覧にWindows Meしか書いていなかったので、
      本来ならMe以外ではIE5.5をサポートするつもりはないということなんでしょうね。

      # 表示チェック用に一台だけ古いIEを残してあったんだけど、
      # そろそろあきらめどきかな?
      親コメント
      • by Anonymous Coward
        > Windows2000 Pro SP4のマシンでは、
        > Windows Update経由ではIE5.5 SP2のパッチは出てきてくれませんでした。

        ん?

        同じくWin2K Pro SP4 + IE5.5 SP2だけど、ちゃんと出てきたし、
        アップデートも問題なく出来たよ。
        • by ex (1307) on 2004年08月02日 10時36分 (#599827) ホームページ 日記
          えーと、今日会社でSUSサーバを同期させてみたら、
          5.01系列しか2000用は出てきてくれませんでした。
          5.5SP2の2000用は更新に現れていません。

          かつ、2000SP4/IE5.5SP2を手動でWindowsUpdateかけても
          やっぱりこちらの環境では出てきませんでした。

          5.5SP2ではなく、IE5.01SP4が入ってませんか?
          2000を再インストールして、そのままSP4をあてると
          IE5.01SP4になります。

          正しい動作としては、2000用は存在しないって事で
          いいんだと思います。とりあえず、Me用をあててみて
          Exploitチェックを行ってみたいと思います。
          あとは不具合があるかどうか。

          でも、ちょっと不安が残るので、正式対応してくれないと
          このパッチをユーザーの2000/IE5.5SP2には入れられないなぁ。
          前回は2000/IE5.5SP2パッチが出たので、今回も出てくれると嬉しいんですけど。

          まぁ、サポート期間も過ぎてるので、駄目でしょうね。
          すいません、私のチェックが甘かったので、お騒がせしました。
          親コメント
    • by Anonymous Coward
      >全体としてはIE6よりマシなブラウザだと思うので

      興味があるので具体例を教えて貰えないでしょうか?
      • by ex (1307) on 2004年08月02日 10時29分 (#599824) ホームページ 日記
        IEで一番好きなのは5.01系で、
        これは確実に軽いんですが。

        IE6よりも、IE5.5の方が、何故か固まって落ちることが
        少ないと感じています。
        この辺が「マシなブラウザだと思う」な所です。
        ブラウザとしてマシ、というのは間違いですね。
        とりあえず経験上では、まだ固まりにくいって事で。
        何故か私はIE6が固まる現象に出くわしやすいのか、
        結局家ではIEをできるだけ使わないようにしています。
        FireFoxへほぼ完全に移行しました。感覚的にも
        性にあってるみたいです。

        ブラウズの解釈はIE6の方がよりマシだと思います。

        最近の能力あるマシンに関してはXPへ移行させているので、
        IE5という選択肢がありません。
        親コメント
    • by Anonymous Coward
      個人的には
      IE5.01系>IE6.0系>IE5.5系だと思いますけどもね。
      軽さは。
  • by Anonymous Coward on 2004年07月31日 10時07分 (#598731)
    バグを発見したSecuniaのここ [secunia.com]でフレーム詐称のexploitが再現されています。

    このバグ、実は6年前にIEのバージョン3.0と4.0で修正済みのものだったんですよね。
    しかし、また穴が開いたということは次のバージョンのIEにも
    同様の現象が起こるのかもしれないので、
    安心はできないと思います。

    まあ、"絶対に安心"なんてものはないんですが。

    • なお、以前に出たフレーム詐称問題 [srad.jp]は
      設定で回避できる(2004.07.12 追記:参照) [ryukoku.ac.jp]とのことですので、こちらも忘れずに
      (参考:窓の杜の記事 [impress.co.jp])

      エンバグというより簡単に言ってしまえば、
      デフォルトの設定は利便側に振られているだけの話。
      MozillaだってVer1.16まではこの設定だったし、
      無効に振ってしまえば見れないページとかが出てくるかもしれない。
      ダイアログを不用意に出すとそれも対応しなきゃいけない。
      そういった理由で有効になってると思います。
      # IE5登場時のMSはまだ利便性重視だったと思います。
      # その当時の設定が現在まで続いているだけのようにも思えます。

      私はとりあえず、ダイアログの表示で逃げてます。

      # タレコミを読み落とされたので、
      # 今度は見落とされないように+1ボーナス消費
      --
      私を信じないで、貴方を裏切ってしまうから。
      親コメント
      • # IE5登場時のMSはまだ利便性重視だったと思います。
        # その当時の設定が現在まで続いているだけのようにも思えます。
        「その利便性重視はそれで良いのか、セキュリティ重視するという姿勢と相容れるのか」とか、突っこみどころは多々あるように思うんですが…。

        しかし、そんな瑣末な問題以上に『ホームユーザーと企業ユーザーに、どちらも利便性重視した同セキュリティレベルのOSを提供している』のがいかんのではないかと。
        企業向けには、たとえばIEなら
        1. デフォルトでセキュアな方に振る
        2. 管理者があらかじめ必要な機能を選択し、それをインストーラ形式で配布可能にするなり、リモートでインストール可能にする
        とかした方が良いのではないかな?
        数十台、数百台のマシンにWindows Updateかけて、さらに設定変更してまわるなんてやってらんないでしょ?
        親コメント
        • by kei100 (5854) on 2004年08月01日 2時29分 (#599155)
          > 1.デフォルトでセキュアな方に振る

          ホームページが正しく見れなくなるという副作用がある以上、
          ホームユーザー向けに提供する普通のセットアップでは、
          無効にするという対処は取り難かったと推測します。

          パソコン初心者な方(きっと組織の中にも居ますよね?)に、
          「ドメイン」とか「フレーム」とか表示しても理解してもらえないと思いますが如何でしょう?

          > 2.管理者があらかじめ必要な機能を選択し、
          > それをインストーラ形式で配布可能にするなり、
          > リモートでインストール可能にする

          そのどちらも踏まえた上で、IE5.0の時点からIEAK [microsoft.com]と呼ばれるツールがあります。
          あなたでも今すぐセキュアな設定をデフォルトにしたものを組織内で配布可能です。
          お望みどおり、インストーラー形式になります。
          あとは共有フォルダに突っ込むなりCDに焼くなりすれば出来上がり。

          また、SMS [microsoft.com]と呼ばれるものを使えばリモートインストールも可能です。

          もしかして、IEAK・SUS・MBSA・SMSといったツールって、
          想像以上に世間一般には知られてないんでしょうか?

          > 数十台、数百台のマシンにWindows Updateかけて、
          > さらに設定変更してまわるなんてやってらんないでしょ?

          それ、別のブラウザや、まったく関係ないソフトでも同じですよね?
          例えば、この間のShell:プロトコルの問題 [srad.jp]なら、
          全てのMozilla系のバージョンを上げるか、設定変更をしなければならないわけです。

          集中管理する仕組みを構築していないなら、どんなソフトだろうと同じだと思いますけど?

          # MS信者じゃないと自分は思っているのだが、
          # こういった発言をする度に既に洗脳されてるかも?と思うのでID。
          --
          私を信じないで、貴方を裏切ってしまうから。
          親コメント
  • 7月頭のWindows Updateを実行して以来、Webページ(完全モード)の保存が出来ないエラーが発生しています。
    このパッチを入れても直らないというのは、どういうことなのかは未だに不明です。
    ちなみにMozilla Firefox 0.9.2では、完全モードでWebページの保存が出来るようになっています。
    --
    Super Souya
  • 『以前メディアへの予告』では「リリースは8月2日の週」って言ってたから来週かと思ってたよ。
    早めに出してくれるのはそれはそれで嬉しいけど、週明けまでには検証作業やらんといけないのが(個人的には)辛い…
  • 最近 (スコア:1, 参考になる)

    by Anonymous Coward on 2004年07月31日 14時17分 (#598890)
    IE以外のブラウザに脆弱性報告が増えているような気がするのは、
    IEのシェアが落ちていることの裏付けですかね。
    もしくはどこかの会社がIEのシェアを守るべく
    調査会社に金を渡しているとか・・・。
    これ [impress.co.jp]とか
    あとオペラのとか。
    • Re:最近 (スコア:1, 興味深い)

      by Anonymous Coward on 2004年07月31日 15時37分 (#598920)
      無視できない程度には普及し始めたので、
      穴を狙う価値が出てきたのもあるかと。

      あと、今ならマスコミとかの注目度がやっぱり大きいですから、
      IEは「また?」だけど、MozillaやOperaとかなら「こんな穴がっ」みたいになる。
      注目されたくて穴を探す人も居ると思いますし。

      # Operaは精神的に何故かIEより不安なのでAC
      親コメント
    • by gendohki (16311) on 2004年07月31日 23時05分 (#599060)
      増えたんじゃないでしょうか。

      まぁ、ただ使ってるだけの人間にしてみれば、
      探してくれて、すぐにちゃんと直してくれるのであれば、
      「いいぞ、いいぞ、もっとやれー」ってだけですけど。

      何を使うにしても、
      ソフト入れてそのままでずっと安心なんて無いワケですし。
      --
      --
      「なんとかインチキできんのか?」
      親コメント
    • by Anonymous Coward
      金なんか渡さなくても、”信者”がたくさんいますから...。

      具体的には何にも考えずにWindows/IE導入しちゃった
      企業とかの担当者が自分の判断を正当化するために
      シコシコ/ネチネチと競合製品の欠陥を”パソコンが分からない人”
      に吹聴して廻るってとこでしょうね。
    • by Anonymous Coward
      そんな、敵に塩を送るようなことしますか?

      もともとIEより品質が悪いものもあったんじゃないですかね。
      あのブラウザとか。
      あんなのお金出して買う価値あるのかな。
  • by Anonymous Coward on 2004年07月31日 9時17分 (#598705)
    特別増刊号、ってやつですか。
  • by Anonymous Coward on 2004年07月31日 9時17分 (#598706)
    キャッシュの画像が壊れていて、jpgやgif画像を保存しようとするとbmpになってしまうバグはいつ直るのか?
    エロ画像収集時に激しく面倒なのですが。

    #もちろんAC
    •  キャッシュがパンク寸前になっているケースも考えられるので、インターネット・オプションからキャッシュの削除を実施してみるといいかも。
      --
      --- どちらなりとご自由に --- --
      親コメント
      • by Anonymous Coward on 2004年07月31日 14時15分 (#598886)
        確かにそのケースでも起きやすくなるのだけど、
        いくらキャッシュを削除してもしつこく発生することも多いんだよねー。

        これはIEがエロ画像収集はいい加減にやめなさいと諭しているんだと思えばよいのでしょうかねぇ……。
        親コメント
      • じゃあパンク寸前だとjpgやgif画像を保存しようとするとbmpになってしまうバグも直して欲しいですね。
        っていうかパンクしないように上限容量の設定が出来るんじゃないの!?
        • by Anonymous Coward on 2004年07月31日 13時42分 (#598874)
          そうか、「使用するディスク領域」の設定って
          • 設定サイズ以上にファイルを詰め込んだら爆発させますのでご注意ください
          だったのか。
          • 設定サイズ以上にファイルを入れたら古いキャッシュから順に消して自動調整します
          だとずっと思ってた。
          親コメント
    • オフトピに同様に直して欲しいバグをあげるなら、
      2000/XPでIEが起動している時に、タスクバー上のボタンを
      クリックしてもアプリが切り替わらなくなる事がある不具合を
      何とかして欲しいですね。

      IEとOSの統合なんて言ってるけど、OSの基本機能であるはずの
      タスク切り替えがき
  • by Anonymous Coward on 2004年07月31日 16時58分 (#598954)
    よくないもの。使わないのが自分のためです。
  • by Anonymous Coward on 2004年07月31日 20時52分 (#599019)
    っというのはジョークとして
    出た当初は馬鹿にされたウインドウズアップデート
    今では重宝しております
  • by Anonymous Coward on 2004年08月01日 1時38分 (#599132)
    今回初めて自動更新のメッセージが出た。
    2002年2月14日にインストールして以来、約200回のアップデートを行なったが、自動更新のメッセージが出たのは初めてで、前回までは、手動でWindows Update に接続していた。
    尚設定は、「更新を自動的にダウンロードするが、インストールは手動で設定する」に、Windows XP をインストール時に設定して以来変更していない。

    常時接続(ADSL)なのに、自動更新のメッセージが出た事が無いので、今回のメッセージには驚いた。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...