IE7導入のWindows XPなどで外部からコードを実行される脆弱性Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
IE7とWindows XPの組み合わせに危険な脆弱性、マイクロソフトが公表
米マイクロソフトは2007年10月10日(米国時間)、Internet Explorer 7(IE7)をインストールしたWindows XPおよびWindows Server 2003の環境には、危険な脆弱(ぜいじゃく)性が存在することを明らかにした。細工が施されたリンク(URL)をクリックしたり、悪質なWebページやファイルを開いたりするだけで被害に遭う恐れがある。修正パッチ(セキュリティ更新プログラム)は未公開。 今回の脆弱性は、URLの処理に関するもの。細工が施されたURLを読み込むと、URLに含まれるコマンド(プログラム)などを実行してしまう。そういったURLが含まれるWebページやファイルを開くだけでも、悪質なコマンドを実行されて被害に遭う危険性がある。 本来、IEおよびWindowsにはチェック機構があり、URLに含まれるコマンドを実行することはない。IE6を使っている場合や、
マルウエア対策として生まれたVista+IE7の「保護モード」
マルウエア対策として生まれたVista+IE7の「保護モード」 Windows Vista Security IN & OUT 事件と課題から考えるWindows Vistaのセキュリティ(第6回) 今回は,ウイルス・スパイウエアなどの不正なソフトウエア(マルウエア)のOSへの侵入を防ぐ方法の一つとしてInternet Explorer 7(以下,Internet ExplorerはIE)の保護モード(Protection Mode)について取り上げる。 ログインしたユーザー権限で動作した従来のIE IE6以前のIEは,ログオンしているユーザー権限と同じレベルで動作する。IE7もWindows Vista以外の環境で稼働する場合は同じで,一般ユーザー(制限ユーザーやパワー・ユーザー)でログオンしていれば,IEも一般ユーザー権限で動作し,管理者ユーザー(Administrators)でログオ
GoogleやIE7の偽ページにご用心、ウイルスを仕込まれる恐れ
セキュリティベンダーの米サンベルトソフトウエアは2007年7月13日(米国時間)、Internet Explorer 7(IE7)のダウンロードページや米グーグルの検索ページに見せかけた悪質なWebサイトが確認されたとして注意を呼びかけた。アクセスすると、ウイルス(悪質なプログラム)をインストールされる危険性がある。 いずれも、Webページはイタリア語で記述されている。IE7の偽ページには、Microsoft Updateなどのページと同じように、「Rapido(高速)」と「Personalizzato(カスタム)」のボタンが用意されている。いずれのボタンをクリックしても、「ie.exe」というウイルスのダウンロードが促される。 このウイルスは、「ダウンローダー」と呼ばれるウイルスの一種。実行されると、別のウイルスをダウンロードして実行する。また、特定の有料サイトに勝手にダイヤルアップ接続
IE 7にフィッシング攻撃の脆弱性
問題を悪用されると任意のサイトで偽コンテンツを表示することが可能になるが、リスクは比較的低いとされる。 MicrosoftのInternet Explorer(IE)7に、フィッシング攻撃に利用される可能性のある脆弱性が報告され、セキュリティ各社がアドバイザリーを出したた。リスクは比較的低いとされる。 デンマークのSecuniaによると、IE 7にクロスサイトスクリプティングの脆弱性が存在し、ローカルリソースの「navcancl.htm」ページで「ページを更新」のリンクを処理する際に入力認証エラーが発生する。 これを悪用されると任意のスクリプトコード挿入が可能になり、ユーザーが「ページを更新」のリンクをクリックすると、例えば任意のサイトで偽コンテンツを表示するといったことができてしまう。 Secuniaでは、完全にパッチを当てたWindows XP SP2上のIE 7で脆弱性が確認され、ほ
マイクロソフト、「IE 7」と「Vista」のセキュリティ脆弱性を調査
Microsoftは米国時間2月26日、最近明らかになった「Internet Explorer 7」と「Windows Vista」に関する2件のセキュリティ上の脆弱性について調査中であると述べた。 この2件の脆弱性は、それほど危険性が高いとは考えられていないが、Microsoftの最新ウェブブラウザおよびOSソフトウェアに影響する。MicrosoftはIE 7とWindows Vistaのセキュリティの高さを喧伝していた。セキュリティ専門家らは、これらの脆弱性により、ユーザーの個人情報が攻撃にさらされる恐れがあると警告している。 French Security Incident Response Team(FrSIRT)は、IEの脆弱性が、「IE 6」にも影響し、クレジットカードデータや社会保障番号などの個人情報を不正に聞き出そうとする詐欺行為であるフィッシング攻撃に利用される危険性があ
IE 7に3度目の脆弱性報告――過去に報告済みの問題とMS
Secuniaによれば、この問題を悪用されると信頼できるWebサイトのポップアップウィンドウに偽コンテンツを挿入することが可能になる。 Internet Explorer(IE)7でWebサイトのコンテンツを偽装できてしまう新たな脆弱性が見つかったとして、デンマークのセキュリティ企業Secuniaが10月30日、アドバイザリーを公開した。これに対して米Microsoftはセキュリティセンターのブログで31日、この問題は2004年に指摘されたもので、同社で徹底調査済みだと反論している。 SecuniaがIE 7の脆弱性を報告したのは正式リリース以来これで3件目(関連記事)。今回の深刻度は5段階中真ん中の「Moderately critical」とされている。 Secuniaのアドバイザリーによれば、この問題では例えば悪質なWebサイトを使って、信頼できるWebサイト上で開かれるポップアップウ
IE 7の問題は「セキュリティの脆弱性」ではない---MSRC:ITpro
米Microsoftのセキュリティ・チームであるMicrosoft Security Response Center(MSRC)は10月31日,公式ブログにおいて,Internet Explorer(IE)7に新たに見つかったとされる問題は,同社の定義では「セキュリティの脆弱性(security vulnerability)」には該当しないことを表明した。 セキュリティ・ベンダーのデンマークSecuniaは現地時間10月25日,IEの最新版であるIE 7に,アドレス・バーの表示を偽装できる脆弱性が見つかったことを明らかにした(関連記事:IE 7にアドレス・バーを偽装されるセキュリティ・ホール)。その後,この脆弱性に関してユーザーから問い合わせが寄せられ,一部で混乱が見られるとして,MSRCではこの脆弱性について説明した。 【10月31日お詫びと訂正】MSRCが言及しているのは10月25日に
IE 7にも「ポップアップ・ウインドウを“乗っ取られる”脆弱性」
デモの実行例。USA Todayページの「Day in pictures」のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツが表示される デンマークSecuniaは現地時間10月30日,Internet Explorer 7(IE 7)に新たな脆弱性が見つかったことを明らかにした。細工を施したリンクをクリックさせることで,別のWebサイトが表示するポップアップ・ウインドウに任意のコンテンツを表示させることができる。 今回の問題は,2004年12月にSecuniaがIE 6やFirefoxやOpera,Safari,Konqueror,Netscapeといった主なブラウザで発見したもの。それが,IE 7でも確認されたとする(関連記事)。 Secuniaでは,この問題を使ったデモ・ページを用意している。デモの手順は次のとおり。まず,Secuniaのデモ・ページに置かれたリンク
システム管理者も気に入る「Internet Explorer 7」
米Microsoftが先日,2001年以来となるWebブラウザの新バージョン「Internet Explorer 7」をリリースした。ある人は「1998年以来の新バージョン」と呼ぶ人もいるが,控えめに言っても5年振りの最新版であり,その間に世界は大きく変わった。そしてIEも大きく変化したのだ。しかも良い方向に。筆者はこのことに非常に驚いている。 筆者は「IEがどう良くなったか」を説明する前に,ある重要なうわさを否定しておきたいと思う。MicrosoftはIE 7を「優先度の高い更新プログラム」として,OSの自動更新機能経由で配布すると聞いたことはないだろうか。厳密に言うと,これは間違いではない。しかし企業ユーザーは,OSの自動更新機能に関する重要な注意事項を理解する必要があるだろう。 まず第一に,IE 7が自動更新機能経由で配布される対象は,個人ユーザーとパッチ配布を管理していない企業だけ
IE 7にアドレス・バーを偽装されるセキュリティ・ホール
デンマークSecuniaは現地時間10月25日,Internet Explorer 7(IE 7)にポップアップ・ウインドウのアドレス・バーを偽装できるセキュリティ・ホールが見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。 今回のセキュリティ・ホールは,10月18日に正式版(英語版のみ)がリリースされたIE 7に見つかった。WebページやHTMLメール中の細工が施されたリンクをクリックすると,実際とは異なるアドレス(URL)を表示したウインドウがポップアップされる。つまり,ポップアップ・ウインドウのアドレス・バーを偽装することができる。 Secuniaでは,偽装が可能であることを示すデモ・ページを用意。IE 7で表示させたデモ・ページ中のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツ(ポップアップ・ウインドウ)が,米MicrosoftのU
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Corporation
IE7でポップアップウィンドウが改竄される脆弱性