« Dead Letters / The Rasmus | Main | Skype P2P技術による高音質な無料通話 »

›8 19, 2004

IEとAdobe ReaderとWinXPsp2と暗号アルゴリズムに脆弱性が!

[ PCニュース ]

 一気にきましたね。 最近のセキュリティ会社は頑張りすぎです。 もう何もシンジラレナイ。 誰もが使うソフトであるからこそ、性急な対応を期待します。
 
 

IEに外部からローカルシステムへアクセスされてしまう危険な脆弱性

 この脆弱性は、ある細工を施されたWebサイトから任意のコードを含んだファイルがWindowsの「スタートアップ」フォルダに作成されてしまう可能性があるというもの。ウイルスなどがスタートアップフォルダに作成されてしまうと、Windows起動時に毎回ウイルスプログラムも起動してしまうことになる。原因は、“インターネットゾーン”からローカルコンピュータへ「ドラッグアンドドロップ」する際の検証が不十分なため。
 
 現在のところ、この脆弱性を修正するためのパッチはマイクロソフトから提供されていない。したがって、Secuniaは回避方法として、IEのアクティブスクリプトを無効にすることや、IE以外のブラウザを利用することを推奨している。

 この脆弱性を発見したhttp-equiv氏が公表した実証コードの場合は、ユーザーが自らドラッグ&ドロップの操作を行う必要がある。だがSecuniaでは、これを下敷きに改悪が加えられれば、ユーザーが1度クリックするだけで勝手に実行されてしまうコードができあがる可能性がある、としている。

 何故このような危ない挙動が発生しえるのか意味がわかんねー。 理解を超える。 あー、でもアンチウイルスソフトが防いでくれるかな? よくわからん。

IEに外部からローカルシステムへアクセスされてしまう危険な脆弱性 (INTERNETwatch)
ITmedia エンタープライズ:IEのドラッグ&ドロップ処理に深刻な脆弱性、XP SP2でも防げず 
 

Adobe Readerに任意のコードを実行可能な脆弱性が発見される

 この問題は、Adobe Readerに含まれるActiveXコントロール「pdf.ocx」にバッファオーバーフローの脆弱性が存在し、悪質なプログラムが実行される可能性があるというものだ。
 
 具体的には、攻撃者が作成した“細工が施されたWebサイト”上で、PDFファイルを呼び出すリンクをユーザーがクリックすると、バッファオーバーフローが発生するというもの。スクリプトやIFRAMEタグなどと組み合わせると、WebサイトやHTMLメールを開いただけで脆弱性を攻撃される可能性もある。
 
 米Adobe Systemsは、Adobe Readerの最新バージョン6.0.2でこの問題を修正していると発表しているが、Secuniaは「問題は完全には修正されていない」と指摘している。
 
 Secuniaでは回避策として、WebブラウザからAdobe Readerが呼び出されないように設定を変更することを推奨している。具体的には、「編集」の「環境設定」を選び、「インターネット」タブの「PDFをブラウザに表示」のチェックを外せばよい。

 ローカルでPDFを開くと大丈夫なわけ? よくわからん

Adobe Readerに任意のコードを実行可能な脆弱性が発見される (INTERNETwatch)
 
 

Windows XP SP2にさっそく脆弱性

XP SP2 には2つの脆弱性が存在し、信頼できないゾーンに属する悪意あるファイルの実行に至るおそれがあるという。
 
両脆弱性は、XP SP2 で新たに搭載した「セキュリティ警告」機能の実装に関するもので、Heise は勧告の中で、有害ウイルスを拡散するために悪用し得ると述べている。同機能は、例えばインターネットからダウンロードしたものかなどの、プログラムに関するセキュリティゾーン情報の記録を基に、実行に際してユーザーに警告を出す仕組みだ。
問題の脆弱性は、Windows XP のコマンドシェル「cmd.exe」が、ゾーン情報を無視して警告無しに実行可能ファイルを起動することと、Windows Explorer がファイル上書きの際に、ゾーン情報を適切に更新しないことの2点だ。
 
「(Windows Explorer を) 騙し、インターネット経由のファイルを警告無しに実行し得る」と Heise は述べた。

Windows XP SP2にさっそく脆弱性--セキュリティ専門家らが指摘 - CNET Japan
Japan.internet.com Webテクノロジー - 『Windows XP SP2』に早くも脆弱性か
 
 

暗号アルゴリズムに重大な欠陥発見の報告相次ぐ

 一般的なセキュリティ用アプリケーションに含まれる数学アルゴリズムに、これまで知られていなかった脆弱性が存在する可能性があるとのニュースに、暗号専門家のコミュニティが大騒ぎになっている。

 MD5も、もう信じられないのか。 最早信頼にたる存在は存在しないのか

暗号アルゴリズムに重大な欠陥発見の報告相次ぐ - CNET Japan


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?