« Concertino in Blue | Main | Break out »

›7 31, 2004

2004/7のスケジュール外IE用パッチ(867801)(MS04-025)

[ PCニュース ]

 以前書いたIEエンジン使用ブラウザで閲覧すると、ブラウザを落とすGIF(トロイの木馬?)に関してのパッチだそうです。WindowsUpdateから利用可能。

 対象となるのはInternet Explorer 5.01/5.5/6。今回修正される脆弱性は、ナビゲーション クロスメソッドの脆弱性、不正なBMPファイルのバッファオーバーランの脆弱性、不正なGIFファイルのダブル フリーの脆弱性の3つ。
 
 ナビゲーションクロスメソッドの脆弱性は、「クロスゾーンスクリプティングの脆弱性」としてISSなどが警告していたもので、すでに攻撃コードも発見されていた。悪用すると、攻撃者はWebサイトを訪問するとリモートでコードが実行されるWebページを作成できる。
 
 不正なBMPファイルのバッファオーバーランの脆弱性と不正なGIFファイルのダブル フリーの脆弱性では、Internet ExplorerのBMPおよびGIFファイルの処理にバッファオーバーランの脆弱性が存在し、悪用すると攻撃者が任意のコードの実行が可能となる。

IE用の累積的セキュリティ修正パッチ公開〜深刻度は“緊急”
MS、月例スケジュール外の IE 用「緊急」パッチを予定通り公開
Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
 
 で、更に「2 つの追加のセキュリティ上の変更」事と「Windows XP SP1 では副作用が発生する」との事です。
セキュリティホール memo

 
 今回のアップデート辺りからWindowsUpdate自体のバージョンを上げる事が出来るとか出来ないとか。具体的には、URLの最初の方がv4からv5になるそうです。具体的な方法などはWindows Update version 5 の総合情報でどうぞ。version5にした人による、WindowsUpdateが出来なくなったなどの不具合が報告されているので私はもう少し様子見です


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?