/blog/2014/09/it-activex/
Updating Internet Explorer and Driving Security
The following post is from Adrienne Hall, General Manager, Trustworthy Computing, Microsoft. The security of our products is something we take incredibly seriously, so the news coverage of the last few days about a vulnerability in Internet Explorer (IE) has been tough for our customers and for us. We believe, and take a huge amount of pride that, among widely used browsers, IE is the safest in t
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
Adobe、Flash Playerを緊急アップデート Windowsを狙う攻撃発生
Windowsを標的に、Flash Playerの脆弱性を悪用する攻撃が横行しているという。なお、IEに発覚した未解決の脆弱性とは無関係。 米Adobe Systemsは4月28日、「Flash Player」の深刻な脆弱性を修正するセキュリティアップデートを公開した。Windowsを標的に、この脆弱性を悪用する攻撃が横行しているとして、できるだけ早く最新版に更新するようユーザーに呼び掛けている。 Adobeのセキュリティ情報によると、今回のアップデートではバッファオーバーフローの脆弱性1件を修正した。悪用された場合、任意のコードを実行され、システムを制御される恐れがある。 この脆弱性はWindowsとMac、Linuxが影響を受けるが、特にWindowsとMacでは、ただちにアップデートの適用を促す優先度「1」に分類している。 脆弱性を修正したFlash Playerは、バージョン13.
更新:Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構
Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。 この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。 Microsoft 社は「脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラム(MS14-021)を適用して下さい。 Microsoft 社は、5 月 2 日より、Windows Update で本脆弱性に対する修正プログラムの配信を開始しました。 以下の Microsoft 製品が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8
IE9/10にパッチ未公開の危険な脆弱性、悪用した標的型攻撃が出現
日本マイクロソフトは2014年2月20日、Internet Explorer(IE)9および10に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、ウイルスに感染する恐れなどがある。実際、この脆弱性を悪用した標的型攻撃が出現している。セキュリティ更新プログラム(パッチ)は未公開。 今回、IE9とIE10に見つかったのはメモリー破損の脆弱性。細工が施されたWebページなどをIE9あるいはIE10で読み込むと、中に仕込まれたウイルスなどを勝手に実行される恐れがある。IE10については、今回の脆弱性を悪用した標的型攻撃が確認されているという。攻撃者は正規のWebサイトに侵入し、今回の脆弱性を悪用するワナを仕掛けたもよう。 今回の公表に先立ち、複数のセキュリティベンダーが、IE10に対するゼロデイ攻撃を報告している。報告された攻撃は、今回の脆弱性を悪用して
IEの脆弱性を利用する標的型攻撃
最近のセキュリティ動向に関する、セキュリティベンダーのブログを紹介する。まず最初は、9月に見つかった米マイクロソフトの「Internet Explorer(IE)」関連の脆弱性「CVE-2013-3893」を狙う攻撃手口について。ロシアのカスペルスキーラボが、ブログで説明している。 この脆弱性は、IEのHTMLレンダリングエンジン「mshtml.dll」に存在し、解放済みメモリー使用(Use After Free)の不具合によりメモリー破損を引き起こす場合があり、任意のコードの実行を許可する可能性がある。「Windows XP」から「Windows 8.1」で動作するIEのバージョン6~11に影響する。 IEは依然として多数のユーザーに使われているので、サイバー犯罪者にとってこうした脆弱性は好都合だ。なお同脆弱性を修正するパッチはすでに公開されている。 2012年8月~2013年8月のブラ
IE8・IE9をクラッシュさせるシンプルなCSSコードが見つかる
わずか1行でInternet Explorerをクラッシュさせてしまうコードというものもありましたが、今回見つかったコードも、CSSに数行足すだけでInternet Explorer 8と9をクラッシュさせることが可能です。 Benutzer:Schinken/CSS-IE-Crash – Hackerspace Bamberg - Backspace http://www.hackerspace-bamberg.de/Benutzer:Schinken/CSS-IE-Crash デモページはこちら、IE8・IE9だとアクセスした瞬間にクラッシュし操作不可能になるので注意。 http://schinken.github.io/experiments/iecrash/crash.html 実際にIE8でアクセスしてみたところ、ページにアクセスしたとたんに一切の操作を受け付けなくなり、そのまま
Internet Explorerに情報漏えいの脆弱性、「IE 10に更新を」
情報処理推進機構とJPCERT コーディネーションセンターは6月7日、Microsoft Internet Explorer(IE)に関する脆弱性情報を発表した。細工されたXMLファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする恐れがあるという。 それによると、脆弱性はIE 6~9に存在する。現時点で最新版のIE 10は初期出荷版で解決されているため、影響を受けないとしている。 Windows 7以降もしくはWindows Server 2008 R2以降のユーザーは、IE 10へのアップグレードで対策を講じられる。だが、マイクロソフトではこの脆弱性を修正する予定は無いとしている。IE 10にアップグレードできないユーザーは、信頼できないファイルをローカルディスク上に保存しないことで、脆弱性の影響を回避できるという。
Microsoft Security Advisory 2794220
Security Advisory Microsoft Security Advisory 2794220 Vulnerability in Internet Explorer Could Allow Remote Code Execution Published: December 29, 2012 | Updated: January 14, 2013 Version: 2.0 General Information Executive Summary Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS13-008 to address this issue. For more information about this issu
Microsoft Security Bulletin Summary for January 2013
Published: January 08, 2013 | Updated: March 12, 2013 Version: 4.0 This bulletin summary lists security bulletins released for January 2013. With the release of the security bulletins for January 2013, this bulletin summary replaces the bulletin advance notification originally issued January 3, 2013 and the out-of-band advance notification issued January 13, 2013. For more information about the bu
Microsoft、IE 6~8の脆弱性に対処する「Fix it」ツールをリリース
旧版のInternet Explorerに未修正の脆弱性が存在する問題で、Microsoftはこの問題に対処する「Fix it」を公開した。 米Microsoftは12月31日(現地時間)、29日に新たに発覚したInternet Explorer(IE) 6/7/8に存在するリモートコード実行の脆弱性に対処する「Fix it」ツールを公開した。 セキュリティアドバイザリによると、この脆弱性はIEが削除されたり適切に割り当てられていないメモリに存在するオブジェクトにアクセスすることで、任意のリモートコードを実行してしまうというものだ。この問題を攻撃者に悪用されると、細工を施したWebサイトをユーザーが閲覧した場合に、攻撃者が任意のコードを実行できてしまう可能性がある。標的型攻撃の発生も確認されているが、発生状況は「ごくわずか」だという。 IE 9および10ではこの脆弱性の影響はないため、Mi
IE6,7,8のゼロデイ脆弱性(CVE-2012-4792)の対処法
昨年末に、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2012-4792)が発表されました。既にこの脆弱性を悪用した攻撃が観察されているということですので、緊急の対応を推奨します。 概要は、Microsoft Security Advisory (2794220)にまとめられていますが、英文ですので、JVNのレポート「JVNVU#92426910 Internet Explorer に任意のコードが実行される脆弱性」をご覧になるとよいでしょう。 影響を受けるシステム: Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 想定される影響: 細工された HTML ドキュメントや Office ファイル等を閲覧することで、任意のコードが実行される可能性があります。 対策方法: 2012年12月31日現在、
Windowsユーザはご注意を! Internet Explorer6/7/8のゼロデイアタックが確認されています
年末に公表されたInternet Explorerの脆弱性を悪用する攻撃が観測されています。Internet Explorerのバージョン6,7,8をお使いの方は、使用をやめた方がよさそうです。 ※追記:マイクロソフトから修正用プログラムが2013年1月15日に公開されます。末尾の関連記事を御覧ください。 今回悪用される脆弱性は、マイクロソフトが12月29日に公表したInternet Explorerに関するセキュリティアドバイザリーで公表されたもの。 Microsoft Security Advisory (2794220): Vulnerability in Internet Explorer Could Allow Remote Code Execution Microsoft is investigating public reports of a vulnerability in
IE6~10にマウスカーソルの位置を追跡される脆弱性、パスワードなど盗まれる恐れ
By Paul.White Internet Explorer 6から10までのバージョンに、マウスカーソルの位置を追跡される脆弱性があることが明らかになりました。一度この追跡が始まると、IEのウインドウを最小化しても追跡は続くとのことで、バーチャルキーボードやキーパッドを使って情報を入力するようなサービスを利用する場合、パスワードやクレジットカード情報が盗まれる恐れがあります。 spider.io — Internet Explorer Data Leakage http://spider.io/blog/2012/12/internet-explorer-data-leakage/ 具体的にどのようなことが行われているのかというのは以下のムービーを見るとわかります。 IE Cursor Exploit Demo - YouTube https://www.youtube.com/wat
IEに新たな脆弱性が発覚、当面は別ブラウザの利用を
既に攻撃コードが出回り、セキュリティ専門家はIEのユーザーに対し、Microsoftがこの問題に対処するまでの間、ChromeやFirefoxなど別のWebブラウザに切り替えることを勧めている。 米MicrosoftのInternet Explorer(IE)に、また新たな未解決の脆弱性が報告された。IE 7と8を標的とした攻撃が既に発生しているもようだ。米SANS Internet Storm Centerやセキュリティ企業各社が9月17日に一斉に伝えた。 IEの脆弱性を悪用するコードは、先に発覚したJavaの脆弱性(Oracleが8月30日に対処済み)について調べていた研究者が14日に発見し、最新のパッチを当てたWindows XP SP3上で悪用できることを確認した。 この脆弱性はIE 7/8/9に存在し、細工を施したWebサイトをユーザーが見ただけで被害に遭う可能性があるという。M
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
/blog/2014/05/2963983-ms14-021-internet/
「はとバス」「ヤマレコ」のサイト改ざん、IEへのゼロデイ攻撃を仕込まれていた可能性 閲覧で不正プログラム感染、日本を標的とした攻撃が拡大
IE「Javaアプレットのスクリプト」を無効にしても意味なし 【Java脆弱性対策】 - 無題な濃いログ
マイクロソフト、IEの緊急パッチを9月22日に公開 