oddmake 曰く、 本家記事より。MicrosoftとSecuniaによると、2003を除くWindowsのXMLHTTP 4.0 ActiveX Controlに脆弱性があり、ユーザが悪意あるページを閲覧されると閲覧した利用者権限で攻撃を受けてしまうそうだ。パッチはまだない。
Mozilla Firefox や Opera を使えばおおむね回避可能? (スコア:4, おもしろおかしい)
その仲間のブラウザは脆弱だろうと思う。Mozilla Firefox や Opera は
原則的には ActiveX を使わないから大丈夫、と考えて良いのかな?
Outlook や Outlook Express 等による HTML レンダリングも攻撃経路となる
懸念がある。
Re:Mozilla Firefox や Opera を使えばおおむね回避可能? (スコア:1, 参考になる)
#M1 なので AC... おっと、MS [microsoft.com] にもリンクしておこう。
Microsoft 式翻訳術 (スコア:2, すばらしい洞察)
原文: 日本語訳: 原文は「限定的な攻撃に気付いている」言い換えれば「限定的攻撃の存在を確認している」
と書いているのに対し、「攻撃は限定的であることが確認されています」と訳してしまうのは
きちんと考えれば誤訳である。
お客様をゼロデイ攻撃の危険にさらしておきながら、リスクを過小評価させかねない誤訳を
提供してしまうのは、如何なものだろうか。私には、単なる不注意とは考えられない。
Re:Microsoft 式翻訳術 (スコア:0)
Re:Mozilla Firefox や Opera を使えばおおむね回避可能? (スコア:0)
# ブックマーク管理とかが面倒なことになるな。
# ローカルにHTTPサーバをたててリンク集CGIでも動かすか。
ActiveXだのJavaScriptだの使おうと思わなければ、どれもそこそこ安全なんだから、無効にしちまう手もあるけど。
# 実際自分は普段無効にしてるけど、
# JavaScriptを強要してくるページのうっとおしいことこの上ない。
# 手間を省いたはずが結局面倒な思いをしてる。
# 「おもしろおかしい」ねぇ。
# わからなくもないけどねぇ。
Re:Mozilla Firefox や Opera を使えばおおむね回避可能? (スコア:1)
それ以外に挙げたブラウザについては、ゼロデイ攻撃が存在したという記録はおそらくない。
回避方法くらいタレコミに書けよ (スコア:4, 参考になる)
・とりあえずIEのセキュリティ設定で "Active Scripting" "Run ActiveX controls" を無効にするか、それが不都合なら
・"XMLHTTP 4.0 ActiveX Control" が実行されないようにレジストリをいじる。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}\Compatibility Flags の値を0x400 (DWORD)に
AC の書いた回避方法は信用できない (スコア:0, 余計なもの)
まったくそのとおり。
いくら回避方法が書かれていても、 AC でのコメントじゃ、
(ある程度のモデレーションがつくまで)信用するに足りない。
AC の書き込みをほいほい信用するようでは
セキュリティを理解していないといわれてもしかたがない。
タレコミに書いてあるか、
jbeef たんみたいに、過去に実績のあるハンドルであれば、
そういうのを回避できるのだけれど。
Re:AC の書いた回避方法は信用できない (スコア:3, すばらしい洞察)
後で○○さんに話を聞くと「正しくなる前提条件」がある事を言っているのに、
前提条件がすっぽり抜け落ちて「手順」と「○○さんが言った」だけが一人歩きする。
困ったものです、、、
Re:AC の書いた回避方法は信用できない (スコア:2, すばらしい洞察)
リンク先の情報元を確認しに行かない時点で五十歩百歩のような気がするが……
XML脆弱性? (スコア:2, すばらしい洞察)
原因箇所がXMLHTTPのActiveXコントロールにあるってだけで。
しかも、XMLHTTPはXMLじゃないし。
あと、Secuniaは「Extremely critical」と言っているのに、セクションローカルというのはいかがなものか。
これ、Windows Updateがまだないのに攻撃も既に発生しているわけでしょ?
MSの資料見て処置しないといけないわけで。
Re:XML脆弱性? (スコア:2, 参考になる)
>原因箇所がXMLHTTPのActiveXコントロールにあるってだけで。
XMLHTTPはXMLコアサービスの一部なので別に間違ってないと思う。MS自身もそういってるし。
> しかも、XMLHTTPはXMLじゃないし。
いや名前通りXML用です。
非XMLデータだと当然パースエラーになるけど、パース前の生データを取得できる仕様なので、エラーを無視すれば生データの取得にも使えますが。
いわゆるAjaxをIE上で動かす場合はこのXMLHTTP使ってる(ActiveXを直接ページに貼り付けるのではなく、JScript(JavaScript)コードから呼んでる)と思うので、影響範囲は全てのAjaxページに及ぶと思う。
Re:XML脆弱性? (スコア:1, すばらしい洞察)
(たぶんこういう抽象的記述通じないんだろうから例を挙げてあげると、) 君は、WikipediaのことをWikiと呼ぶのかね?
Re:XML脆弱性? (スコア:1)
Re:XML脆弱性? (スコア:1)
Re:XML脆弱性? (スコア:1, 興味深い)
MSXML 4.0はOSにもIEにも標準で含まれていません (スコア:2, 興味深い)
> 2003を除くWindowsのXMLHTTP 4.0 ActiveX Controlに脆弱性があり、
とか、注意深く読まないとあたかもOS別に異なるMSXML 4.0のバイナリがあって2003用のみ脆弱でないかのように思い込まされそうな文面が誤解に拍車をかけてますね。というかタレコミ人だか編集者だか知りませんがやはり誤解したまま文を作った挙句こうなっちゃったのでしょうか。
志村ー!! (スコア:1, おもしろおかしい)
Re:パッチはまだない (スコア:0)
その情報から自ら想像した記憶が電脳のよって書き換えられ
XMLコアサービスに脆弱をもたらし/.Jが賑わうのだ。