パスワードを忘れた? アカウント作成
9190 story

IE6にIFRAMEタグ関連の脆弱性が見つかる 101

ストーリー by GetSet
便乗ウィルスも出ているようで 部門より

YellowTurtle曰く、"セキュリティホールmemoを見て気づいたのだが、どうやらInternet Explorer 6に脆弱性が発見された模様。すでにexploitが公開されている。
対象は、Windows2000 or WindowsXP SP1 + IE6の組合せ。IFRAMEを悪用し、細工を施したHTMLコードを読ませることでバッファオーバーフローを引き起こし、任意のコードがリモートより実行される恐れがあるらしい。
patchが無い現在、XPのSP2を適用するか、ブラウザを乗り換える程度しか対策が無いようだ。"

Internet Watchの記事によると、この脆弱性を利用したMydoomの亜種も確認されているとのこと。XP SP2を使えない環境では、patch公開までIE6の利用を自粛したほうが無難かもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • スコア: -2 オフトピック (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2004年11月10日 23時49分 (#650798)
    FirefoxでSanDisk [sandisk.co.jp]の製品情報のサイトの、
    画像にポインタを乗せると文字だけのページに移ってしまうような書き方をしてるSanDiskは逝ってよしですか?

    # IEがファイルの中身を見て処理を決めてしまうせいで、
    # 中身はHTMLなのに Content-Type: text/plain なんていう
    # まともなブラウザで見るとソースが見えるばかりのトンデモなCGIを作ってしまっても気づかない、
    # サイト管理者に連絡しても対処してもらえないことの根源となったIEは極悪ブラウザだと思ってます。
    # そんなスクリプトを書いた人も大馬鹿者ですけど。:-p
  • MyDoom にも (スコア:2, 参考になる)

    by minz (3213) on 2004年11月10日 1時36分 (#650320) ホームページ 日記
    MyDoom にこの脆弱性を攻撃する亜種が出たようで...
    http://vil.nai.com/vil/content/v_129630.htm
    SP2に上げていない環境も多い現在,また流行しますかねえ
    --
    みんつ
  • Mydoomの亜種が送ってくるメールにOE6.0のステータスバーを偽装できる脆弱性 [impress.co.jp]が組み込まれれば危険度がアップしますね。
    こちらの脆弱性もWindowsXP SP2では問題ないようですが。
  • なんだかウエブページを見ただけで、勝手に色々と仕込まれるページがあるそうです。素人には、何だか分からず、怖くなるばかりで、何とかして欲しいです。

    「勇気が無くて見られない画像解説スレ」に出てきた危険と思われるアドレス一覧・URL List [infoseek.co.jp]

    いつの間にか仕込まれていて、授業中に突然エロサイトのポップアップが出てきた日には。。。「悪徳サイトの仕業だ」と言っても、誰も信じてくれないでしょうねえ。。。
  • by Anonymous Coward on 2004年11月10日 5時14分 (#650364)
    Netscapeか?
    Microsoftか?
    W3Cか?

    表現なんだからCSSでどうにかしろよ。
    • ざっとGoogleで検索した限りは、Netscape Navigator 4.xは対応しておらず、Internet Explorer 3 が最初のようですから、Microsoftなんじゃないですかね。

      親コメント
  • by Anonymous Coward on 2004年11月10日 9時49分 (#650415)
    Outlook Expressもそうだけど、Windowsを使ってる以上はファイル操作可能な
    マクロを持ち、決め打ちできるアプリを持つOS・積極的に外部と接続するブラウザが
    一体化されているOSを使うことは、どのような脆弱性が
    「実際に」見つかろうと見つかるまいと、常に「潜在的に」脆弱といえます。

    今回の情報が見つかったから、ブラウザの利用を控えようと言うのは、
    危険を回避する手段としては根本的問題の解決になってないし、
    問題の所在を理解しないまま偶然回避できているだけに思えます。
    ユーザーレベルが幅広い事を考えると、それはそれで悪いとはいえませんが。

    丁度、優れたFirefoxが出ているのですから、休止と言う中途半端な
    手段ではなく永久に乗り換えても良いでしょう。
    理想的には、OSも乗り換えてしまうのが良いですね。
    (けど…ある程度万人に薦められるのはMacくらいだなあ)
    乗り換えられない事情がある…という人は、Javaを切る等の必要な
    対策を施していて、今回の脆弱性も「ふーん、またか、やっぱりね」
    なんて思うのかも知れませんw
    • 世の中FirefoxでアクセスするとIEでなきゃ駄目と怒こられるサイトがかなり有るんです。
      親コメント
    • 既に悪用したウイルスが出ているのに、11月のMS月例パッチでもこのIEのバグは治っていない。 少なくとも一ヶ月はブラウザとしては無防備で、アンチウイルスソフトだけが頼り。新型ウイルスでも放たれて、パターンが間に合わなければアウト。

      こうなると FirefoxはIEに比べてセキュリティ面でも優位~Mozilla技術責任者 [impress.co.jp]の語った通りで、 ついにバージョン1.0がリリース [itmedia.co.jp]された Firefox1.0 を使うほうが安全。 特に、情報収集目的のネットサーフィンなどでは。

      イントラ限定で IE でしか動かないとか、表示できないようなタコなサイトをアクセスする時とか、 オンラインバンク等で、やはり IE でしか動かないけれど、素性は知れた所にアクセスする場合など、「仕方の無い」場合に限って IE を使うようにした方が安全。IE でしか動作を保証していなくても、実際には Firefox で問題なく動くところが大半。

      逆に、モロに IE でしか動作しないようなサイトは、サイト構築側の技術力に問題大有りの場合が多く、 IE でアクセスしてもまともに動作しない事が良くあるトラブル多発サイトの場合が多い。こういう所では、どのみち XP SP2 での動作も当然保証できないと思われますが・・・

      親コメント
  • by Anonymous Coward on 2004年11月10日 0時32分 (#650280)
    iframe{display:none;}
    とやってもだめなんだろうか……
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...