[20130509追記] Internet Explorer 8にゼロデイ脆弱性が発見された模様。


2013年5月9日追記:マイクロソフトから修正パッチが出るまでの回避策として「Fix it」がリリースされている。パッチではなく、あくまでも回避策である点に注意されたい。
■マイクロソフト セキュリティ アドバイザリ (2847140) Internet Explorer の脆弱性により、リモートでコードが実行される – Microsoft
http://technet.microsoft.com/ja-jp/security/advisory/2847140

Internet Explorer 8のみにゼロデイ脆弱性があるという報告がされているようだ。悪意あるページをIE8で閲覧した場合、仕掛けられたマルウェア等で実行中(閲覧中)のコンピュータ上で任意のコードを実行させられてしまうというものだ。すでに大規模攻撃も確認されているという。Internet Explorer 6、Internet Explorer 7、Internet Explorer 9、Internet Explorer 10には今回の脆弱性は存在しないようなので、IE8の利用者のみ利用を控えるなどの措置を取る必要がありそうだ。 “[20130509追記] Internet Explorer 8にゼロデイ脆弱性が発見された模様。” の続きを読む

IEのサードパーティークッキー問題の対応をCakePHPで設定する場合

Facebookアプリなどを作っていると必ず遭遇し、セキュリティ的に問題だと揶揄されようともこれしか方法がない以上は避けて通れない「IEのサードパーティークッキー」の問題。iframe内に配置されたコンテンツがクロスドメインの場合(Facebookアプリの場合は必ずそうなってしまう)、そのコンテンツがCookieを保存・使用しようとしても許可されないというセキュリティ的な制限が掛けられている。 “IEのサードパーティークッキー問題の対応をCakePHPで設定する場合” の続きを読む

[20130114追記] IE6、7、8におけるゼロデイ脆弱性は次回定例パッチまでに対応できない模様


※2013年1月14日追記
対応パッチが定例外アップデートでリリースされるとのアナウンスがあった。

先日のブログで紹介したIE脆弱性の件。どうやら次回のMicrosoft定例パッチ(更新プログラム)での対応はなされないという可能性が高まっているようだ。 “[20130114追記] IE6、7、8におけるゼロデイ脆弱性は次回定例パッチまでに対応できない模様” の続きを読む

IE7推奨?

IE6は危険だから、IE7にしろというけれど、IE7むっちゃ重いやんね?
特に古いXPマシンだと、終わった…っていうぐらい重いやんね?
でもUS-CERT的には「strongly encourages」らしい…。

これと相関するのかわからんけれど、ITmediaの記事を見るとIE7にも問題があるような感じらしい。

■IE 6とIE 7に危険度「中」の脆弱性
http://www.itmedia.co.jp/news/articles/0806/27/news054.html

とりあえずCurrent Activityの[sniplet 誤訳]を。

Microsoft Internet Explorer 6 Cross-Domain Vulnerability
added June 26, 2008 at 11:36 am

US-CERT is aware of publicly available proof-of-concept code for a new vulnerability in Microsoft Internet Explorer 6. This vulnerability may allow a remote, unauthenticated attacker to execute arbitrary script in the context of another domain. This could allow an attacker to take a variety of actions, including stealing cookies, hijacking a web session, or stealing authentication credentials. At this time, Internet Explorer 7 does not appear to be affected by this issue.

US-CERT strongly encourages users to upgrade to Microsoft Internet Explorer 7 and follow the best security practices as outlined in the Securing Your Web Browser document to help mitigate the risk. Additional information about this vulnerability can be found in the Vulnerability Notes Database.

US-CERT will provide additional information as it becomes available.

誤訳:
Microsoft Internet Explorer 6にクロスドメイン脆弱性
掲載 2008年6月26日 AM11:36

US-CERTは、Microsoft Internet Explorer 6の新たな脆弱性の公式に利用が可能なコンセプト実証コードを確認した。この脆弱性は、リモートの無認証の攻撃者が任意の他のドメインのコンテキストに含まれるスクリプトを実行する可能性がある。これは攻撃者に、cookieの取り扱いやウェブセッションのハイジャック、あるいは認証パスワードの取り扱いを含む、あらゆる動作を容認する可能性が高い。現時点で、Internet Explorer 7ではこの問題による影響は見られない。

US-CERTでは、Microsoft Internet Explorer 7へのアップグレードや、リスクの低減に有用な以下の文書Securing Your Web Browserに含まれるオンラインの最善セキュリティ対策をとることを、利用者に強く推奨する。本件に関する追加情報はVulnerbility Notes Datebaseにて参照できる。

IEのzero day

IEにzero dayが見つかっているらしい。

ていうか、勉強とはいえ、かなりいい加減な訳だなぁ。
フランス人が書く英語ってのもそれなりに特徴的なのかしら…。
いや、私が英語ができんだけなのですが、はい。精進します。

■IEにゼロデイの脆弱性、深刻度は中程度
http://www.itmedia.co.jp/news/articles/0805/16/news021.html

[ad#ultrah-link]

A vulnerability has been identified in Microsoft Internet Explorer, which could be exploited by remote attackers to take comple control of an affected system. This issue is caused by an input validation error when handling URLs and links within a web page while generating a printable HTML document, which could be exploited by malicious web sites to cause arbitrary scripting code to be run in the Local Zone security context and execute arbitrary commands by tricking a user into visiting and printing a specially crafted web page with the “Print table of links” feature enabled.

Note: The “Print table of links” option is disabled by default.

誤訳:
Microsoft Internet Explorerに脆弱性が識別された。これは影響のあるシステムの完全制御を得るためにリモート攻撃者によって悪用される可能性のあるものだ。この問題は、印刷可能なHTML文書の生成中に、ウェブページ内のURLやリンクの取り扱い時の入力正当性エラーにより引き起こされる。これは、Local Zoneセキュリティコンテキスト内で起動され、有効化された”Print table of links”機能でシステム内部に訪れ、特別に作為を施されたウェブページを表示する悪意あるユーザによって任意のコマンドを実行する、任意のスクリプトのコードに起因する不正なウェブサイトにより悪用される可能性がある。

注意: “リンクの一覧を印刷する”オプションはデフォルトで無効化されている。

[ad#ultrah]