マイクロソフト セキュリティ アドバイザリ (917077)
HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、リモートでコードが実行される
公開日: 2006年3月24日 | 最終更新日: 2006年3月25日
マイクロソフトは、Internet Explorer に存在する一般に公開された新たな脆弱性を確認しました。 マイクロソフトの調査によると、この脆弱性で攻撃者により、ログオンしたユーザーのセキュリティ コンテキストでユーザーのコンピュータで任意のコードが実行される可能性があります。マイクロソフトはこの報告された脆弱性を悪用する攻撃コードのサンプルと、限定的な攻撃を確認しました。加えて、マイクロソフトは、この脆弱性を悪用した攻撃を積極的に監視し、パートナーおよび法執行機関と共にこの脆弱性を悪用する悪意のある Web サイトの削除に勤めています。
マイクロソフトは、この脆弱性が悪用されても攻撃者によりユーザーが強制的に悪意のある Web サイトを訪問させられることはないことを確認しています。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。また、バナー広告またはそのほかの方法により、影響を受けるコンピュータに Web コンテンツを提供する特別な細工がされた Web コンテンツが表示される可能性もあります。 電子メールが悪用される攻撃では、ユーザーに悪意のある Web サイトへのリンクをクリックさせる、または脆弱性を悪用する添付ファイルを開かせることが攻撃者にとって必要条件となります。電子メールと Web サイトのどちらの攻撃でも、コードが実行される場合は、現在ログオンしているユーザーのセキュリティ コンテキストが使用されます。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
マイクロソフトは、これらの報告を引き続き調査し、お客様の要望に沿ったガイダンスの提供を予定しています。
この調査の完了時に、マイクロソフトはお客様を保護する手助けとなる適切なアクションを行なう予定です。 これには、マイクロソフトの月例のリリース プロセスによるセキュリティ更新プログラム、またはお客様のニーズにより、月例のリリース プロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。マイクロソフトは、信頼できないソースからの電子メールや電子メール内のリンクを開く際に細心の注意を払うことを推奨します。安全なブラウジングに関する詳細情報は、ブラウジングおよび電子メール操作の安全性を高める をご覧ください。
マイクロソフトは引き続き、ファイアウォールを有効にする、ソフトウェアの更新プログラムを適用する、およびウイルス対策ソフトウェアをインストールするなどのマイクロソフトの Protect Your PC のガイダンスに従うことを、お客様に推奨します。これらのステップについては、Protect Your PC Web サイト をご覧ください。
注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。
問題を緩和する要素:
• Web を悪用した攻撃のシナリオで、この脆弱性が悪用されるには、この脆弱性の悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。また、バナー広告またはそのほかの方法により、影響を受けるコンピュータに Web コンテンツを提供する特別な細工がされた Web コンテンツが表示される可能性もあります。
• この脆弱性は、電子メールを通じた自動的な攻撃または、Outlook または Outlook Express のプレビューを見るだけで悪用されることはありません。 お客様はリンクをクリックして悪意のある Web サイトに誘導されるか、脆弱性を悪用するために添付ファイルを表示させられる可能性があります。
• この脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
*********************************
まあ、バグというより想定していなかった使い方が見つかって
それで誰かが被害を受けるというものだから、完全になくなることは無いんだろうな。
>注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。
え?もうβ2?
まあ、タブブラウザといっても、スレイプニルのように自動的に新しいタブが
追加されていく物と違い、サブメニューで新しいタブを作り其処に目的のサイトを
呼び込むという方法なので、普通に使っていたらIE6と何ら変わらず
クイック起動にIE登録しておいて、2個~ 起動しておいてマウスクリックで
切り替える方が、Xボタンで間違って閉じてしまうこともないし便利。
レジューム機能くらいつけてくれないかな?
マウスボタンに、閉じる機能を割り充ててるとついうっかりがあるんだなコレが。
HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、リモートでコードが実行される
公開日: 2006年3月24日 | 最終更新日: 2006年3月25日
マイクロソフトは、Internet Explorer に存在する一般に公開された新たな脆弱性を確認しました。 マイクロソフトの調査によると、この脆弱性で攻撃者により、ログオンしたユーザーのセキュリティ コンテキストでユーザーのコンピュータで任意のコードが実行される可能性があります。マイクロソフトはこの報告された脆弱性を悪用する攻撃コードのサンプルと、限定的な攻撃を確認しました。加えて、マイクロソフトは、この脆弱性を悪用した攻撃を積極的に監視し、パートナーおよび法執行機関と共にこの脆弱性を悪用する悪意のある Web サイトの削除に勤めています。
マイクロソフトは、この脆弱性が悪用されても攻撃者によりユーザーが強制的に悪意のある Web サイトを訪問させられることはないことを確認しています。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。また、バナー広告またはそのほかの方法により、影響を受けるコンピュータに Web コンテンツを提供する特別な細工がされた Web コンテンツが表示される可能性もあります。 電子メールが悪用される攻撃では、ユーザーに悪意のある Web サイトへのリンクをクリックさせる、または脆弱性を悪用する添付ファイルを開かせることが攻撃者にとって必要条件となります。電子メールと Web サイトのどちらの攻撃でも、コードが実行される場合は、現在ログオンしているユーザーのセキュリティ コンテキストが使用されます。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
マイクロソフトは、これらの報告を引き続き調査し、お客様の要望に沿ったガイダンスの提供を予定しています。
この調査の完了時に、マイクロソフトはお客様を保護する手助けとなる適切なアクションを行なう予定です。 これには、マイクロソフトの月例のリリース プロセスによるセキュリティ更新プログラム、またはお客様のニーズにより、月例のリリース プロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。マイクロソフトは、信頼できないソースからの電子メールや電子メール内のリンクを開く際に細心の注意を払うことを推奨します。安全なブラウジングに関する詳細情報は、ブラウジングおよび電子メール操作の安全性を高める をご覧ください。
マイクロソフトは引き続き、ファイアウォールを有効にする、ソフトウェアの更新プログラムを適用する、およびウイルス対策ソフトウェアをインストールするなどのマイクロソフトの Protect Your PC のガイダンスに従うことを、お客様に推奨します。これらのステップについては、Protect Your PC Web サイト をご覧ください。
注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。
問題を緩和する要素:
• Web を悪用した攻撃のシナリオで、この脆弱性が悪用されるには、この脆弱性の悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は、悪意のある Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。また、バナー広告またはそのほかの方法により、影響を受けるコンピュータに Web コンテンツを提供する特別な細工がされた Web コンテンツが表示される可能性もあります。
• この脆弱性は、電子メールを通じた自動的な攻撃または、Outlook または Outlook Express のプレビューを見るだけで悪用されることはありません。 お客様はリンクをクリックして悪意のある Web サイトに誘導されるか、脆弱性を悪用するために添付ファイルを表示させられる可能性があります。
• この脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
*********************************
まあ、バグというより想定していなかった使い方が見つかって
それで誰かが被害を受けるというものだから、完全になくなることは無いんだろうな。
>注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。
え?もうβ2?
まあ、タブブラウザといっても、スレイプニルのように自動的に新しいタブが
追加されていく物と違い、サブメニューで新しいタブを作り其処に目的のサイトを
呼び込むという方法なので、普通に使っていたらIE6と何ら変わらず
クイック起動にIE登録しておいて、2個~ 起動しておいてマウスクリックで
切り替える方が、Xボタンで間違って閉じてしまうこともないし便利。
レジューム機能くらいつけてくれないかな?
マウスボタンに、閉じる機能を割り充ててるとついうっかりがあるんだなコレが。
BLOOD+(1) 通常版ソニー・ピクチャーズエンタテインメントこのアイテムの詳細を見る |