IEのFTPダウンロードに脆弱性 125
ストーリー by Oliver
Internet-Expoitable 部門より
Internet-Expoitable 部門より
Linus404 曰く、 "ITMediaによると、セキュリティ企業のSecuniaがIEの新たな脆弱性を報告したとのこと。この脆弱性はFTPファイル転送の入力確認エラーに起因しており、これを利用すると攻撃者は、ユーザーにFTPサーバーから悪意あるファイルをダウンロードさせることで任意の位置にファイルを作成できる模様。対象となる環境はWindows2000とSP2が適用されていないWindowsXP。SecuniaによるCriticalの評価はModerately critical(5段階中第3位)となっている。
WindowsXP SP2ではこの現象は確認されておらず、他のシステムに対するパッチがまだ配布されていないことからも、SecuniaではXPにSP2を適用することを推奨している。色々あって未だにSP2を適用していないユーザーも少なくないように思われ、現に自分もその一人なわけだが、そろそろアップデートしても良い時期なのかもしれない。"
IEでFTPに接続させなければOK? (スコア:5, 参考になる)
オプション -> 拡張機能 -> URLアクション
でURLアクションを有効にして、アクションリストに
ftp://*
を追加。カスタムアクションのアクションプルダウンメニューからカスタムを選び、好きなFTPクライアントを選択。
これでftp://で始まるリンクをクリックした場合はIEが接続しにいかなくなる上、自動的にFTPクライアントでURLを開いてくれます。
IEのFTPクライアント機能はどうにも挙動がおかしい、と常日頃思ってる人にはマジお勧め。
Re:IEでFTPに接続させなければOK? (スコア:2, 興味深い)
URL監視のような事はしてないっぽい。
あ、ちなみに上に書いたやり方で、FFFTPを指定してますが問題なく動いてます。
# Win2000からXPにしたらFTPクライアントの挙動不審具合が直ったような気が・・・気のせいだろうか・・・
何故に「サイエンス」セクション? (スコア:2, すばらしい洞察)
サイエンスセクションはおかしいね (スコア:1)
やっぱりセキュリティ、でしょう。
屍体メモ [windy.cx]
Re:何故に「サイエンス」セクション? (スコア:0)
あと3ヶ月 (スコア:2, 参考になる)
> そろそろアップデートしても良い時期なのかもしれない
そうですね,今アップデートしなくても,4月12日には自動的にアップデートされる [microsoft.com]らしいですからね。
Re:あと3ヶ月 (スコア:2, 参考になる)
WindowsUpdate的にそう設定していれば別ですが、
「インストールする前に確認する」になってれば、ダウンロードこそすれ
タスクトレイのバルーンだけでしょ。
#ダウンロードだけ済んでいてインストールしてないのでID。
Microsoft的には内緒にしておきたかった? (スコア:2, 興味深い)
いつどこをどういう風に修正したかを公開しないから、今回のように後になって発覚するわけで、プロプラエタリのーというかMicrosoft的な体制の弊害ですわな。
ていうか、WinXP-SP2で修正してるんだったらWin2Kでも直せよと言いたい。SP2環境でないと提供できない高度なセキュリティシステムというわけでもないんですし。
Re:Microsoft的には内緒にしておきたかった? (スコア:1)
それじゃWindows 2048になっちゃうよ!
※K=1024(2の10乗)、k=1000。
Re:Microsoft的には内緒にしておきたかった? (スコア:1)
そして2Kはセ氏換算ではおよそ-271℃。
Win2KはWindows -271℃ってことですね…確かに、色々とお寒いOSではあるけれど、いくらなんでも冷たすぎやしませんか?
Re:Microsoft的には内緒にしておきたかった? (スコア:1)
だから フリーズ するのか...
ここ [threetree.jp]によると
> -183℃ で液体酸素となり、-218.9℃で固体酸素となる。ともにライトブルー の色をしている。
とあるので,あの青色は固体酸素の色かも.
Re:Microsoft的には内緒にしておきたかった? (スコア:1)
いいじゃないか
VIA
なんだもの
つねを
# 今年も書初めをしなかったのでID。
Re:Microsoft的には内緒にしておきたかった? (スコア:1, 興味深い)
Re:Microsoft的には内緒にしておきたかった? (スコア:1, すばらしい洞察)
Re:Microsoft的には内緒にしておきたかった? (スコア:1)
コード見れないからあーだこーだ言ってもしょうがないんですが。
もしかして。 (スコア:2, おもしろおかしい)
もしかして: Internet-Exploitable
ひょっとして:Internet-Explosive
Re:もしかして。 (スコア:1)
# 誰のネタだか忘れたけどID
いろいろあってというか… (スコア:1)
困った。
Re:いろいろあってというか… (スコア:3, 参考になる)
バグあり(例えばメモリを壊す)アプリ等は問題が発生することが報告されています。 [microsoft.com]
身近な近辺であった問題ではNICが通信不能になったそうです。
本来なら修正されたドライバを使用すればよいのですが、該当ドライバがなく
仕方ないので/noexecute=AlwaysOff [microsoft.com]で凌いでるそうです。
会社のマシンとの事なので滅多に更新されないドライバ周りが怪しいんじゃないかな?
Re:いろいろあってというか… (スコア:1)
うちでは (スコア:1)
#おそらく社員のレベルが低いので,
#Win2Kを使うのをためらったのだと思いますが。
とりあえず (スコア:0)
Re:とりあえず (スコア:1)
#ある意味、アレゲな人をどんどん追い出しているような気がしないでもない……
--- どちらなりとご自由に --- --
Re:とりあえず (スコア:1)
PII-366なノートでWindows2000でFirefoxな私。
Re:とりあえず (スコア:1)
自分を含むアレゲな人々は、自分で選択して出て行ってるだけだと思いますが。。。
もっともどの程度その選択に自分でケツを持つことを覚悟してるのかは人それぞれですけどね。。。
#選択した結果によって新年早々Windowsの再インストールをしたので
#自戒を込めてID。。。。
-- 星を目指さない理由は何もない -- 「MISSING GATE」by 米村孝一郎
宣伝 (スコア:0)
セキュリティ関係の会社は脆弱性の発見/報告すること自体が
会社の宣伝になるってことだよな。そりゃ目を皿にして探すよね。
Re:宣伝 (スコア:0)
Re:宣伝 (スコア:0)
宣伝? (スコア:0, フレームのもと)
Microsoft がパッチを発行する前に、いっつも情報をリークさせてしまう Secunia という企業に、あまり良い印象は持てません。
むらちより/あい/をこめて。
Re:宣伝? (スコア:2)
こっち [7a69ezine.org]。Secunia が取り上げてるのは出てから1週間ほど経ってから)
公開情報を流して「良い印象がもてない」っていわれても。
Re:宣伝? (スコア:1)
どうも、新年早々揚げ足とられてます、T.MURACHI でございます。
そもそも Secunia という企業が何をやっている団体なのかいまいちよく分かっていないわけでありますが、基本的にはどこかで公開されちゃっているセキュリティー情報を収集して公表する、まとめサイトみたいなことをやっている企業ってことなのかしら?
過去にも、未パッチの穴が (MS 製品にせよ OSS なソフトウェアにせよ) ここを経由してメディアに取り上げられることが幾度かあったような気がするのですが (特に MS の製品にそういうのが多い気がする)、それは必ずしもここの責任ということではなくて、先走って公表しちゃう輩が他にいっぱいいらっさるからということなんでしょうね。
むらちより/あい/をこめて。
Re:宣伝? (スコア:4, 参考になる)
(thanks > vikke さんと AC な人たち)
で、これで終わると面白くないというところなので、続けてみましょう。
・Secunia がどんな企業なのか?
-> 彼ら自身の Web サイトを見てみるのが手っ取り早いのではないかな。
ということで 会社のプロフィール [secunia.com] を見てみるとか。
-> 彼らが言っていることがまともかどうかを判断しましょう。
「An effective security solution starts with a position of expertise.」と掲げていますね。訳すと「効果的なセキュリティは専門家の判断から始まる」かな。財政基盤とそのビジネスモデルからソフト・ハードベンダーにおもねるような事無く活動する IT セキュリティ情報企業、という位置づけらしい。なるほど。
そのサイトを見ても提供している情報は大体が「プロダクトとその脅威の情報と度合い」であって、「exploit などの攻撃方法を詳細に説明」したものではない。これならよっぽど securityfocus (現シマンテック)の bugtraq [securityfocus.com] や fulldisclosure [neohapsis.com] のほうが危険ですよ。(うちの Norton Antivirus は「warm ですよ!」って警告出してくれますし :-)
それどころか「現在公になっている問題」をプロダクト(たとえばInternet Explorer) ごとにリストアップしてくれてるなんて、管理者側にとっては「リスクの計算根拠」になるじゃないですか。自身で材料集めて分かりやすい説明資料にするの、大変でしょう?>世の管理者諸兄
「隠蔽によるセキュリティというのはうまくいかないことが経験的に分かっている」 [debian.org]という言葉も有ります。すでに公になっている (in the wild) 攻撃に対する危険性を喚起してくれているのですから、有用でありこそすれ、「悪印象」を抱くのは筋違いではないでしょうか?
Re:宣伝? (スコア:1)
Re:宣伝? (スコア:1)
まっとうな突っこみでしょう。
ましてや、Secunia という企業が何をやっている団体なのかいまいちよく分かっていないなら、良い印象を持てないみたいな、ネガティブな意見をばらまくべきでは無いと思う。
安易なAC発言反対運動中
Re:宣伝? (スコア:1)
自分の不勉強を棚に上げて「揚げ足」とは軽率でした。失礼しました> Henrich さま、その他みなさま。 m(_ _)m
むらちより/あい/をこめて。
Re:宣伝? (スコア:1, 興味深い)
メーリングリストに該当製品を使わないよう投稿した瞬間対応が
変わるところを結構見てますが。
利用者にとっては0dayの様に見えても水面下ではそうでは無いこと
なんて珍しい事ではないです。
枯れませんね (スコア:0)
#太陽と北風政策発動中!
#そんな私はSP2を削除した組
#なんで削除できるように作ってあるかも不明だが
#あれって扱いがパッチとは違いますよね。
WindowsXP SP2にさせるためのやらせ (スコア:0)
Re:脆弱性 (スコア:1)
#オフトピAC
Re:言葉(おふとぴ) (スコア:1)
Re:言葉(おふとぴ) (スコア:1)
Re:言葉(おふとぴ) (スコア:1)
> の根拠が示されていないので、
国民皆教育がその根拠です。日本に於いては、国語教育で標準語を学習しますね。
この程度のことに根拠の提示を求めるようでは、国民皆教育の成果も疑われようというものですが(笑)。
> > 誤読とはまったく違いますね。
> は、貴方の主観の域を出ていない。
上の根拠が示されようが示されまいが、ここで言う「誤読」と「例外」がまったく別物であることに違いはありません。もう一度読み直してみましょう。
Re:言葉(おふとぴ) (スコア:1)
> 国語教育で学習した以外の日本語は、
> 基本的に(一部の例外を除いて)方言だと言う事ですか?
違います。
> 私もその事実に異議は無いのですが、
では、は、あなたの誤読であったことを認めるのですね。
Re:言葉(おふとぴ) (スコア:1)
> そうですか? 無意識に使っている場合が多いですし、
どういう意味で「多い」と言っているのでしょう?私は二つのパターンについて述べていますよ。
普通の人は、方言(を数種類)と標準語の聞き分け・使い分けくらいできます。それは、それぞれの違いを「意識」しているからです。そういう意味で「意識」している場合が「多い」と言っています。
もちろん、標準語だと思って方言を使っている場合もあります。それは、標準語とその方言の差を「意識していない」からです。しかし、そういう「無意識」の場合は「少ない」。なぜなら、これだけ国民皆教育が進み、TVや新聞など、多くのメディアで標準語が使われている反面、方言はなおも健在だからです。違いを意識し、学習する場面が多い、と言うことです。
もちろん、普通にしゃべるときは、リアルタイムに標準語とネイティブな方言の差を意識することはないでしょう。そういう意味では「無意識」な場合も「多い」とは言えます。
で、あなたはどうだと言っているのでしょう?
> その地方のお歳の方はむしろ標準語ってナニ?でしょう。
お年寄を馬鹿にしすぎです。お年寄だって新聞も読めば、TVだって見ますし。
Re:言葉(おふとぴ) (スコア:1)
> 普段はまったくの『無意識』なんだよ。
> 無意識の方が圧倒的に多いの。
私もそうだといっていますが、何か?
> 東京弁と違って誰かが福島弁を定義しているわけではないので、
東京弁だって誰かが定義するわけではありません。
いわゆる標準語と東京弁は別物です。
Re:言葉(おふとぴ) (スコア:1)
> ”例外”(方言であると自覚されない方言)と誤読とをどう区別してるんでしょう。
非常に難しい問題ですね。そういう意味では、その誤読なり方言なりコミュニティの大きさや、権威による、ということになるのでしょうね。
ひとつのコミュニティにしか属さない人であれば、方言も誤読も区別はないわけですが、実際にはそんな人は存在しません。
Re:無間地獄 (スコア:2, おもしろおかしい)
交通事故が原因で死ぬ人は日本だけで1万人近くいる。
これは、明らかに、自動車メーカーと交通行政の怠慢が原因だ。
こんな欠陥地獄、いつまで続くのでしょうか?
一般人の正直な意見として申し上げますが
「うんざりしています」
Re:無間地獄 (スコア:1, すばらしい洞察)
1時間の内に1分も開かない踏み切り(どこだっけ?)なんてのは、欠陥以外の何者でもない。(行政側)
個人的には、助手席からアクセスできないサイドブレーキ(クラッチペダルがサイドブレーキな最近の車)、なんてのも、欠陥仕様にしか見えないのですがね。運転手に何かあった時、助手席の人は咄嗟に何が出来るのだろうか、と考えたら、あの設計は有り得ないと思う。
簡単に人命に王手が掛かってしまう装置ゆえ、OSよりもずっと厳しい視線で問い直すべきだろうし、そうするとほら。欠陥だらけ。
Re:無間地獄 (スコア:1)
>1時間の内に1分も開かない踏み切り(どこだっけ?)なんてのは、欠陥以外の何者でもない。(行政側)
実際にそれを改善しようにも住民が影響が自分の住居や住環境に及ぶと反対の声挙げまくり、それに対応するため時間がかかる。おまけにやってもあんまり自分の地位に影響は無く、やれば責任を被る可能性が大きいと。それでは誰もやりたがらないよなあ。
諦めて現実を直視しましょう。 (スコア:1, おもしろおかしい)
> 一般ユーザーの正直な意見として申し上げますが
> 「うんざりしています」
「一般ユーザ」のくせにまだ「いつか終わる」と思ってるんですか?
貴方以外の「一般ユーザ」は皆、「使い続ける限り終わらないものだ」と理解してますよ。