ExpiredExpired:掲載期限切れです この記事は,掲載期限を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
4月の月例パッチの適用時には,Webアプリケーションの動作検証を
マイクロソフトは4月12日に,セキュリティ更新プログラムを4種類配布する予定だ(関連記事)。その中の1つ,Internet Explorer(IE)の累積パッチを適用するとActive Xコントロールに関する仕様が変更される。そのため,一部のWebアプリケーションが正常に動作しなくなる可能性がある。パッチを適用する際には,Webアプリケーションの動作検証をするのが望ましい。 マイクロソフトでは3月1日に,Active Xコントロールに関する仕様を変更するパッチをWindows Updateで公開したが(関連記事),パッチ(KB912945)を適用することによって動かなくなるWebアプリケーションが多発した。Webで公開されている情報だけでも,日立製作所(情報サイト)やOSK(情報サイト),PFU(情報サイト),エイチ・オー・エス(情報サイト)などが販売するWebアプリケーションで不具合が発
IEの修正パッチがようやく公開,ActiveXの処理が変更されるので注意
IEの修正パッチがようやく公開,ActiveXの処理が変更されるので注意 MDACやWindowsエクスプローラにも「緊急」のセキュリティ・ホール マイクロソフトは4月12日,WindowsやInternet Explorer(IE)などに関するセキュリティ情報を5件公表した。細工が施されたWebサイトにアクセスするだけで被害を受ける危険なセキュリティ・ホールを含む。最大深刻度は最悪の「緊急」。対策はセキュリティ更新プログラム(修正パッチ)の適用。「Microsoft Update」や自動更新機能などから適用できる。IEの修正パッチには,Active Xコントロールの処理を変更するパッチが含まれるので要注意。 4月7日の予告どおり,今回公開されたセキュリティ情報は以下の5件(関連記事)。 (1)Internet Explorer用の累積的なセキュリティ更新プログラム (912812) (M
MSのセキュリティ・パッチでFlashコンテンツの再生に不具合発生,その理由は?
Q:Flashコンテンツを掲載したWebサイトの中には,コンテンツ中の「再生ボタン」をクリックしないと動画などが再生されないものがあります。昨日まで「再生ボタン」は1回クリックすればよかったのに,今日からは2回クリックしないと再生ボタンが押せなくなりました。どうしてですか。 A:マイクロソフトが4月12日に公開したセキュリティ・パッチ「Internet Explorer用の累積的なセキュリティ更新プログラム(KB912812)」を適用することによって,Internet Explorerの仕様が変更されたためです。Webサイト側での対応(JavaScriptの追加)が必要です。 【解説】マイクロソフトは米Eolas TechnologiesとのWebブラウザ特許侵害訴訟への対応のために,2006年4月の月例セキュリティ・パッチ配布にあわせて,Internet Explorerの仕様を変更した
IEにアドレス・バーを偽装される問題,URLとは異なるFlashコンテンツを表示
今回の問題に関する検証ページの表示例<br>アドレス・バーには米MicrosoftのURLが表示されているが,ブラウザ内には別サイトのFlashコンテンツが表示されている。 デンマークSecuniaなどは現地時間4月4日,Internet Explorer(IE)にアドレス・バーを偽装できる問題が見つかったことを明らかにした。細工が施されたWebページにアクセスすると,アドレス・バーに表示されているURLとは異なるサイトのFlashコンテンツ(.swf)をブラウザ内に表示させられる。 今回の問題は,window.open()で開いた同じブラウザ・ウインドウに,WebページとFlashコンテンツを表示させようとすると競合状態が発生することが原因。競合状態が発生すると,アドレス・バーにはWebページのURLが表示されて,ブラウザ内にはFlashコンテンツが表示される場合がある。 この問題を悪用
マイクロソフト、IEの機能変更でウェブ開発者に一時的救済措置
Microsoftは、まもなく行われるInternet Explorer(IE)への変更を一時的に無効にする特別な「互換性パッチ」のリリースを計画している。 Microsoftは米国時間3月29日、4月11日に予定されている次のセキュリティアップデートに、このIE用パッチを含めることを明らかにした。このセキュリティアップデートは、IEによるActiveX関連のウェブプログラムの処理方法に変更を加えるものだが、今回付属するパッチはその変更を元に戻すようになっている。ActiveX関連のこれらの変更は、特定のサイトの表示に影響する場合があると、同社では説明している。 ActiveXの修正は、Eolas Technologiesおよびカリフォルニア大学との間で係争中の特許訴訟で、Microsoftが賠償責任を回避することを目的に用意された。 このパッチにより、ウェブ開発者はIEの変更を考慮した調
IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒
24日、Internet Explorer(IE)に脆弱性が見つかったとしてマイクロソフトがセキュリティアドバイザリを公開した。INTERNET Watchでもニュースとして「IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定」と報じている。 この脆弱性は悪用されると、WebサイトやHTMLメールを通じて任意のコードを外部から実行される恐れがある。デンマークのSecuniaや仏FrSIRTなどのセキュリティベンダーでは、最も危険な脆弱性として警告している。現在までにわかっている問題について解説しておきたい。 ● 乗っ取りコード自体の作成も可能な状態 マイクロソフトやSecunia、FrSIRT、それにこの問題が投稿されたメーリングリスト「Bugtraq」などの情報を総合すると、かなり危険な脆弱性であるようだ。 この脆弱性はヒープオーバーフローの問題なのだが、日本時間の3月27日未明
IEにまた新たな脆弱性
セキュリティ企業Secuniaは3月27日、Internet Explorer(IE)の新たな脆弱性を報告した。同社はこの脆弱性を最も危険度の高い「Highly critical」と評価している。 この脆弱性は.HTAアプリケーションの処理に関する問題が原因で、攻撃者がこれを悪用すると、ユーザーが不正なWebサイトにアクセスしたときに、ユーザーのシステム上で.HTAアプリケーションを実行できるという。 この脆弱性はIE 6.0に影響するが、ほかのバージョンにも影響するかもしれないと同社は述べている。 現時点ではMicrosoftからパッチは提供されておらず、Secuniaは対応策として、信頼できないWebサイトにアクセスしないよう呼びかけている。Active Scriptingを無効にすることも防御策になるようだが、その効果は証明されていないという。 ここ1週間で報告されたIEの脆弱性はこ
IEの脆弱性狙う実証コード出現
Internet Explorer(IE)の脆弱性を狙った実証コードが出回っているとMicrosoftやセキュリティ機関が警告している。 この脆弱性はセキュリティ企業Secuniaが指摘したもので、攻撃者はこれを悪用してユーザーのシステムで任意のコードを実行できるという(3月23日の記事参照)。 Microsoftはこの脆弱性に関するアドバイザリーを発行し、その中で、複数のコンセプト実証コードを目にしているが、現時点ではこの脆弱性を悪用した攻撃はないと述べている。 セキュリティ機関SANS Instituteによると、出回っている実証コードの1つは、電卓アプリをポップアップさせるという。しかしこれに少し手を加えれば、もっと破壊的なコードになるとSANSは警告している。 Microsoftはこの問題にセキュリティアップデートで対処する方針だと表明し、この脆弱性を突いた攻撃にはスクリプトが必要
特許訴訟対策のIEアップデートがリリース
米Microsoftは、Webページ上でのマルチメディアコンテンツのレンダリング方法を恒久的に変更するため、Internet Explorer(IE)の新版をリリースした。 この非セキュリティ累積アップデートは2月28日、Windows XPとWindows Server 2003のオプションダウンロードとしてリリースされた。これは、米Eolas Technologiesとの数億ドルに上る特許紛争に起因するものだ。 この修正により、IEユーザーは最初にマウスを1回クリックしてActiveXコントロールを起動しないと、APPLET、EMBED、OBJECTエレメントがロードするActiveXコントロールと直接やり取りできなくなる。 IE内のActiveXコントロールを利用している人気プログラムには、AdobeのReaderとFlash、AppleのQuickTime、Windows Medi
IE 7 β2にDoSの脆弱性
セキュリティ研究者が、Microsoftの最新ブラウザのプレビュー版「IE 7 Beta 2 Preview」にDoS攻撃を許す欠陥を発見した。最終版のリリースまでに修正する時間はあるものの、Microsoftのソフトウェア技術者が見つけなかったのは問題だとしている。 独立系セキュリティ研究者であるトム・フェリス氏が、Microsoftの最新ブラウザのプレビュー版「Internet Explorer 7 Beta 2 Preview」にDoS(サービス妨害)攻撃を許す欠陥を発見した。セキュリティの強化を主眼に置いて改良された同ブラウザをインストールした直後に欠陥が見つかったという。 フェリス氏によると、潜在的なセキュリティ問題がないか調べるために自作のランダムテストツールを使用した。テストを開始して15分もたたないうちに新ブラウザがクラッシュしたときは、思わず自分の目を疑ったという。 オン
[CRYPTO-GRAM日本語版]Internet Explorerはヤバイ
この調査結果は2005年8月に発表されたのだが,私はその存在を見逃していた。研究グループは,2004年の1年間Internet Explorer(IE),Firefox,Operaという3種類のWebブラウザを追跡調査し,「危険であると知られていた(known unsafe)」日数を数えた。ここでの「危険であると知られていた」の定義は,「遠隔地から悪用される可能性のあるセキュリティ・ホールが公表されたにもかかわらず,修正パッチが提供されていない状態」である。 それによると,IEは98%が危険日だった。パッチ未提供の公開済みセキュリティ・ホールが存在しなかったのは,2004年を通してわずか7日だった。 Firefoxの危険日数は15%。パッチ未提供のセキュリティ・ホールが公開されていた期間は56日間だった。このうち30日間は,Macintoshユーザーだけが影響を受けるものだった。Windo
IE 7ベータ版に多数のバグ--ユーザーからの報告続出
Internet Explorer 7(IE 7)の最新プレビュー版が公開された直後から、同ブラウザのバグを見つけたという報告が相次いでいる。 MicrosoftがIE 7のテスト版バージョンを公開してからわずか1日しか経過していないが、インターネットのニュースグループやブログには、同ブラウザのバグに関する報告が続々と出始めている。また、あるセキュリティ研究者は、同ブラウザにセキュリティの脆弱性が見つかったと主張している。 複数の報告があるのは、McAfee製セキュリティソフトウェアとの互換性の問題や、不特定のスパイウェア/ウイルス対策ツールに起因する同ブラウザのインストール問題など。また、特定の機能を利用したり、特定のウェブサイトをブラウズしたところ、IE 7がハングもしくはクラッシュしたとの報告もある。 Microsoftは米国時間1月31日に、IE 7ベータ2のプレビューバージョンを
■ - hoshikuzu | star_dust の書斎
■復刻:IEのほとんどのバー(アドレスバー含む)偽装の件 WindowsXPsp2で標準設定、ポップアップブロック有りのフルパッチIE6にて、一部のサードパーティー製のポップアップブロッッカー無しの前提で、アドレスバーを含むほとんど全てのバー(タイトルバーとステータスバー除く)を偽装可能な実証コードが手元にあります。 IEでは一般に複数のバーのその位置や大きさなどをカスタマイズでき、ユーザごとの好みでサードパーティーのツールバー(GoogleやYahoo!のバー)も追加されているかも知れませんが、手元の実証コードでは、そのようなカスタマイズをフォロー出来てしまっています。XPのデスクトップ標準のGUIデザインのLUNAモードであれカスタマイズしての、懐かしのレガシーなwin98当時にあったClasicモードであれ、日本語や英語などの言語の差によるgoボタン(=移動ボタン)や、アドレスバー上
MS、月例パッチでWMF脆弱性に対応へ--専門家は進展の遅さに懸念を表明
Windowsの深刻な脆弱性を悪用した攻撃が増加している。しかし、Microsoftは、来週まで修正パッチをリリースする計画はないと述べている。 セキュリティ専門家らは、これに対し、来週のパッチリリースでは遅いと述べている。問題の脆弱性は、同社製オペレーティングシステムにおけるWindows Meta File(WMF)イメージのレンダリング処理に存在するもので、これが悪用されると、ユーザーPCは悪質な画像を含んだウェブページを開いただけでマルウェアに感染してしまう。個人や企業のユーザーは同脆弱性が修正されるまで、深刻なリスクに直面することになると、専門家らは述べる。 セキュリティベンダーComputer Associates Internationalでバイスプレジデントを務めるSam Curryは「ハッカーの間で、この脆弱性は広く知られるようになってきている。また、この脆弱性は簡単に悪
IEとOutlook新版にFirefoxのRSSアイコン採用
Microsoftのブラウザ新版Internet Explorer(IE) 7が、Firefoxで使われているオレンジ色のRSSアイコンを採用する。IEの公式ブログで担当者が発表した。 ブログによれば、Microsoftの担当者が11月にシリコンバレーを訪れてMozillaの担当者と話し合い、ブラウザのRSSおよびRSS関連機能を表すアイコンを統一することが、ユーザーにとっては最善だとの意見で全員が一致した。 これを受けてIEにFirefoxのアイコンを採用することを決定。IE 7でRSSフィード付きのページを訪れると、コマンドバーにこのアイコンが表示されるようになる。 さらに、Outlook 12でも同じアイコンを採用すると、Outlookのプログラムマネジャーがブログで表明した。今後数週間で新しいアイコンをOutlookに組み込む作業を進める意向だとしている。
ITmediaニュース:Mac用IE、12月31日にサポート終了
Mac用Internet Explorer(IE)のサポートが間もなく完全に終了する。 Microsoftはライフサイクルポリシーに従い、2005年12月31日にMac用IEのサポートを終了する。これ以後はセキュリティアップデートもパフォーマンスアップデートも提供されなくなる。 またMicrosoftのMac製品サイトMactopiaでは、2006年1月31日をもってMac用IEのダウンロード提供を終了する。同社はApple Computerのブラウザ「Safari」など、ほかのブラウザに乗り換えるよう勧めている。 Microsoftは、2003年6月に正式にMac用IEの開発を停止した(2003年6月14日の記事参照)。
MS、ブラウザを一部修正--プラグイン訴訟の法的責任を回避へ
Microsoftが同社のウェブブラウザの処理手法を一部変更しようとしている。同社は現在、カリフォルニア大学が支援する新興企業と特許に関して争っているが、今回の処置はこの問題から生じる法的責任を回避するためのもの。 米国時間12月2日、Microsoftはウェブ開発者やパートナー企業に対し、「Internet Explorer(IE)」がActiveXコントロールおよびJavaアプレットなどのウェブプログラムを処理する方法を変更すると通達した。 今回の変更により、ウェブ開発者がウェブページに若干の修正を加えるか、あるいはユーザーが、例えばMacromedia「Flash」を利用した広告を閲覧する際などに何回か余計にクリックをする必要が生じる。 MicrosoftのWindowsクライアント部門ゼネラルマネージャMichael Wallentは「ユーザーエクスペリエンスに及ぼす影響は、比較的
11月に公表されたWindowsのセキュリティ・ホールを突く画像ファイルが出現
米SANS Instituteは現地時間11月30日,11月9日に公表されたWindowsのセキュリティ・ホールを突く画像ファイルがネット上で公開されているとして注意を呼びかけた。セキュリティ・ホールが存在するWindowsマシンのInternet Explorer(IE)でその画像ファイルを読み込むと,マシンが正常に動作しなくなる。修正パッチを適用していないユーザーは,できるだけ早急に適用したい。 ネット上で公開されているのは,「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」のセキュリティ・ホールを突くWindowsメタファイル(WMF)形式の画像ファイル(関連記事)。正確には,セキュリティ・ホールを突く画像ファイルを作成するプログラムのソースコードが公開されている。ソースコードをコンパイルして実
IEに未パッチの深刻な脆弱性、実証コード公開
IEがJavaScriptを処理する方法に未パッチの脆弱性が存在し、システムを乗っ取られる恐れがある。コンセプト実証コードが公開されたため、特に懸念が強まっている。(IDG) MicrosoftのInternet Explorer(IE)がJavaScriptを処理する方法に未パッチの脆弱性が存在し、ユーザーはどこをクリックするかに注意を払うよう、セキュリティ専門家が呼び掛けている。この問題を突いてWindowsシステムを乗っ取られる可能性があることを実証する「コンセプト実証」コードを英国のセキュリティ研究者が公開したため、特に懸念が強まっている。 コンセプト実証コードは、ロンドンのセキュリティ研究会社Computer Terrorismが11月21日に公開。IEがJavaScriptの「Window()」機能を処理する方法に存在する問題を突いている。 セキュリティ企業Cybertrust
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
