弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

Win95時代から19年間存在したIEの脆弱性バグをマイクロソフトが修正 update5

マイクロソフトはIEがスパイウェアだったとそろそろ認めるべきじゃね。
つか、マイクロソフト本社がワシントン州にあることから背景を推測できるはず。

[シアトル 13日 ロイター] - 米セキュリティーソフト会社サイランスなどは13日までに、米マイクロソフト(MSFT.O: 株価, 企業情報, レポート)の基本ソフト(OS)「ウィンドウズ」に1990年代後半に指摘されたセキュリティー上の脆弱(ぜいじゃく)性と関連した新たな脆弱性が発見されたと発表した。

理論的には、ハッカーがこの手法を用いて多数のパソコンからログイン認証情報(ID、パスワードなど)を盗み取ることが可能だ。

サイランスはこの脆弱性を「リダイレクト・トゥ・SMB」と名付けた。90年代後半にウィンドウズやマイクロソフトのインターネット閲覧ソフト「インターネット・エクスプローラー(IE)」で指摘された脆弱性は、ウィンドウズをだましてハッカーが指定するサーバーを認証させることが可能だった。ハッカーの誘導でウィンドウズの利用者が電子メールやウェブサイトの特定のリンクをクリックした場合、ユーザーのコンピューターがハッカー指定サーバーにログインすれば、ハッカーはそのユーザーのコンピューター通信を乗っ取り、個人情報を盗み取ることができる。

サイランスの研究者、ブライアン・ウォレス氏が今回発見した手法の最新版では、ウィンドウズパソコンのアプリがソフトウエアのアップデート確認などで自動的に出すリモートサーバーへのログイン要請をハッカーが傍受した場合、ユーザーはリンクをクリックしなくてもハッキングに遭う恐れがある。

新手法は実験で再現されただけで、現実社会では確認されていない。

マイクロソフトは、今回サイランスが発見したとする脆弱性による脅威は、サイランスが主張するほど深刻ではないと主張している。

米カーネギーメロン大学のソフトウエア工学研究所のコンピューターセキュリティー部門CERTは13日、この脆弱性について警告を出した。

「新手法は実験で再現されただけで、現実社会では確認されていない。」w
確認されてないことをどうやって確認できた?

Win95時代から19年間使ってきたIEのセキュリティホールを潰されたからだろ。 つか、くっだらない互換性のためにまたJavascript書きなおすのかよ。

マイクロソフトがIEを処分するのは19年間使ってきたセキュリティホールが潰れたからだな。

Win95時代から19年間存在した脆弱性バグをマイクロソフトがとうとう修正する。
The bug was present in every version of Microsoft Windows from Windows 95 onwards, and allows a remote user to take over and control a computer.

The bug allowed any attacker to run code remotely whenever a user visited a malicious website. IBM researcher Robert Freeman described the bug as a “rare, ‘unicorn-like’ bug found in code that IE (Internet Explorer) relies on but doesn’t necessarily belong to.”

このバグはすべてのバージョンのマイクロソフト・ウィンドウズに存在し、コンピュータの遠隔操作を可能にするバグだった。 ユーザがあやしいウェブサイトを閲覧すると攻撃者のリモートコードを実行してしまう。
IBM研究者のロバート・フリーマンはバグは「希少なユニコーンのようなバグがIE(インターネット・エクスプローラ)が依存するコードに見つかった。しかしその依存性は不要なものだ。」

またまたぁ。知ったくせに。それを使って遠隔操作してたんでしょ。

あ?なんで選挙の前に塞がれる?
ひょっとして解散と来月の選挙は「民主主義」な選挙?
日本の春が来るのか?

ウィンドウズに19年前から存在の脆弱性、MSが修正パッチ公開

2014年11月13日 13:05 発信地:サンフランシスコ/米国
【11月13日 AFP】米マイクロソフト(Microsoft)は12日、同社の基本ソフト(OS)「ウィンドウズ(Windows)」に19年前から存在していた深刻な脆弱(ぜいじゃく)性を修正する緊急セキュリティー更新プログラム(パッチ)を公開した。

 米コンピューター大手IBMのセキュリティー研究者らは、この脆弱性は1995年以降の全てのバージョンのウィンドウズに存在していたものだと指摘している。ハッカーらはこの脆弱性を利用し、インターネット閲覧ソフト「インターネット・エクスプローラー(Internet Explorer、IE)」のユーザーをわなが仕掛けられたウェブサイトに誘い込み、コンピューターを乗っ取ることが可能だという。

 乗っ取りに成功したハッカーは、利用者と同じようにそのコンピューターを遠隔操作することができるようになるが、この欠陥は悪用しにくいものとされ、これまでにハッカーが乗っ取りに成功した証拠はないという。

 マイクロソフトはAFPの問い合わせに対し、「自動更新を選択しているユーザーは自動的に保護されており、特にすべきことはない」と説明している。

 IBMのセキュリティー研究開発チーム「IBM X-Force」のロバート・フリーマン(Robert Freeman)氏はブログへの投稿で、「この複雑な脆弱性は、IEが依存するが必ずしもその一部ではないコードの中にある『ユニコーンのような』珍しいバグ」「攻撃者はこのバグを使い、遠隔地からコードを確実に実行しコンピューターを乗っ取るためのドライブバイ(ダウンロード)攻撃を行うことができる」と説明している。(c)AFP

「乗っ取りに成功したハッカーは、利用者と同じようにそのコンピューターを遠隔操作することができるようになるが、この欠陥は悪用しにくいものとされ、これまでにハッカーが乗っ取りに成功した証拠はないという。」w

ほぼ自白してる。

投稿されたコメント:

コメント
コメントは無効になっています。