スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

このエントリーをはてなブックマークに追加

--/--/-- --:-- | スポンサー広告  TOP

マイクロソフトがIEの脆弱性を放置している事について事情説明 「あまり問題になるとは思わなかった」

引用元: マイクロソフトがIEの脆弱性を放置している事について事情説明 「あまり問題になるとは思わなかった」

2: ケンシロウとユリア百式φ ★ 2013/06/13(木) 06:29:13.68 0
>>1の続きです)

■Microsoftでは「脅威は限定的、緊急性は低い」と判断

こうした状況を受けて日本マイクロソフトでは今回、IE 6/7/8/9でこの脆弱性を修正していない理由を
説明するに至ったわけだ。同社チーフセキュリティアドバイザの高橋正和氏によると、
やはりCVEのリストに入っていないことからも分かるように、軽微な脆弱性であるとの判断がMicrosftにあったとしている。

高橋氏によると、JPCERT/CCによる脆弱性分析結果を見ると非常に危険な脆弱性のような印象を受けるが、
実際にこの脆弱性を悪用した攻撃が成立するにはいくつかの前提条件があるため、脅威は限定的で、緊急性は低いという。

具体的には、攻撃者はまず、入手したいローカルファイルのファイル名とファイルパスを事前に知っている必要がある。
その上で、入手対象ファイルの情報を設定したXMLファイルをメールやウェブからのダウンロードによって
ユーザーのPCのローカルディスク上に保存させ、それをIEで開かせることで、入手対象のファイルが
XMLファイル内に読み込まれ、指定したサーバーにHTTP通信で送信される流れだ。
これらすべてが成立し、攻撃を成功させるのは困難なのだという。

画像:脆弱性を悪用した攻撃の流れ
http://internet.watch.impress.co.jp/img/iw/docs/603/433/ms1.jpg
画像:JPCERT/CCによる脆弱性分析結果に対する反論
http://internet.watch.impress.co.jp/img/iw/docs/603/433/ms2.jpg

また、JVNにあった「修正予定がない」との表現についても、やや意味あいが違うと指摘。
「対処しない」というのではなく、「具体的な修正スケジュールを立てるような緊急性が高い脆弱性ではないために、
今のところ対応予定がない」といった意味合いだとした。また、XMLに詳しい人であれば
どういった仕組みか想像がつくような、仕様的な部分が含まれているとし、「脆弱性」といようよりも
「攻撃手法」と考えられるのではないかとも述べた。

いずれにせよ今回の件を受けて高橋氏は、脆弱性の情報を公表するにあたっては伝え方やインパクトを考慮する必要があるが、
どういった表現で脆弱性情報が公開されるのかについて、ベンダーとしてきちんとチェックする必要があったのに
見逃してしまったという。

特に同社製品のセキュリティ対応については、Microsoft米国本社での対応になる。本社がいったん軽微とみなし、
対処を見送った脆弱性については、今回のように日本の脆弱性情報サイトで公表されて話題になったとしても、
セキュリティアドバイザリなどのかたちでMicrosoftの公式見解を日本法人から出すのは難しいという。
今回の騒ぎが起こってからは、この脆弱性の発見者自らが自身のブログで見解を示し、JVNで示されているより
危険性は低いと述べているのは知りながらも、そのような情報をMicrosoftとして公式に提供できなかったと振り返る。

高橋氏は、今回の騒ぎによってあらためて脆弱性情報の公表方法や対応について改善すべき余地があることを痛感したとし、
今後、公表される脆弱性情報についてはJVNの窓口との調整・話し合いなどをしっかり行いながら、
誤解されないような情報提供ができるよう見直し・改善を図っていきたいとした。

なお、この脆弱性について現時点で詳細な情報は公開されておらず、攻撃に悪用されたとの報告もないとしている。
また、IE 6/7/8/9での軽減策として、「ローカルディスク上に信頼できないXMLファイルを保存しない」というものに加えて、
「信頼できないXMLファイルは、IEでは開かない」「XMLファイルを開く既定のプログラムを、
メモ帳など他のプログラムに変更する」という方法を挙げている。

【おわり】[2/2]

3: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 06:37:00.91 0
XMLが既に絶滅危惧種

4: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 06:57:25.44 0
>>3
結構使われてるよ

別にIE以外にブラウザなどある今
別の使えば良いだろうに

5: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 07:08:46.60 0
これ多発する公官庁の機密露営事件の核心的な問題じゃね??
あまりにも機密露営が頻発するのでおかしいとは思ったが、この脆弱性は致命的だぞ?

>>3のような物知らずは無視して早急な対策を求めないとダメだろ??

6: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 07:10:08.44 0
XMLってなに?

9: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 08:38:51.25 0
>>6

ホームページで使われるファイル。またはファイル型式のひとつ。

具体的には,サイトマップのファイルがこの様式。
(検索エンジンが、ここから、ホームページの内容を読み取る)

10: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 08:45:56.91 0
>>9

追加。

忘れてはいけない、RSSの文章も、これで作られている。

7: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 07:16:55.12 O
CIAのためにわざとやってるんですか?

8: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 08:01:10.96 0
もうメモリリークIEなぞ使っていませんから

11: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 09:09:04.36 0
最近さあ、、更新しますか?というポップアップが出て、
ハイを選ぶとセキュリティソフトがウィルスを探知して隔離しましたって出るんだけど、
なんでだろう。
自動更新を偽装するウィルスってあるの?

12: オレオレ!オレだよ、名無しだよ!! 2013/06/13(木) 10:20:26.20 0
クロームのほうがええのんか

脆弱性ハンドブック脆弱性ハンドブック
(2013/03/15)
独立行政法人 情報処理推進機構

商品詳細を見る
スポンサーサイト

こちらもおすすめ!

このエントリーをはてなブックマークに追加

テーマ : セキュリティ - ジャンル : コンピュータ

タグ : IE 脆弱性 放置 マイクロソフト

2013/06/13 12:00 | コンピュータCOMMENT(0)TRACKBACK(0)  TOP

コメント

コメントの投稿



管理者にだけ表示を許可する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。