2007年12月06日

「IEはFirefoxより安全」・・・安全かどうかより使えるか使えないかでしょ?

 Microsoftのあるシニアエグゼクティブによると、Internet Explorer(IE)はFirefoxよりも安全だという。同氏は両ブラウザで発見された脆弱性の数を比較したが、同氏の調査方法には欠点があるとの批判の声もある。

 MicrosoftのTrustworthy Computing Groupでセキュリティ戦略担当ディレクターを務めるJeff Jones氏は先週、MicrosoftのIEとMozillaのFirefoxに存在する脆弱性の数を比較した調査報告書をリリースした。当然のことながら、Jones氏はIEの方がFirefoxよりも優れていると結論付けた。

 MozillaのFirefoxで発見される脆弱性の数は、IEよりも少ないだろうという当初の予想に対し、Jones氏は両ブラウザにはこれまでに相当数の脆弱性が発見されたと認めた。

 しかし、ある一定の期間内でMozillaはMicrosoftよりも多くの脆弱性を修正しており、それがFirefoxがIEよりも脆弱だということを示しているとJones氏は説明する。

 「Mozillaは2004年11月にFirefox 1.0をリリースして以来、サポート対象のFirefox製品で発見された199個の脆弱性を修正した。その内訳は、深刻度「高」が75個、「中」が 100個、「低」が24個だ。一方、Microsoftは同期間に、すべてのサポート版IEに影響を与える計87個の脆弱性を修正した。そして、その内訳は、深刻度「高」が54個、「中」が28個、「低」が5個だった」(Jones氏)

 Jones氏によると、Microsoftが2004年にリリースしたIE 6(Service Pack 2)とFirefox 1.0との比較では、Microsoftが修正した脆弱性の数が79個に対し、Mozillaが修正した数は88個だったという。

 またJones氏は、12カ月間かけてIE 7とFirefox 2.0の比較を行った。その結果、その期間内にMozillaが修正した脆弱性の数は56個だったのに対し、Microsoftが修正したIE 7の脆弱性の数は17個だったという。

 「このデータ傾向から、IEとFirefoxの最新版はいずれもセキュリティの質が向上していることが分かるが、一方で、一般的な認識とは対照的に、IEに含まれていた脆弱性の数は、Firefoxよりも少なかったことが分かった」(Jones氏)

 しかし、ウェブアプリケーション開発企業Internet Vision Technologyの創業者兼テクニカルディレクターでLinux AustraliaのプレジデントでもあるJonathan Oxer氏は、Jones氏の調査報告書には欠点があると指摘する。同氏によると、Microsoftは複数の修正をひとまとめにする傾向があり、比較期間内の同社の修正回数が少ないのはそのためだという。(後略)


http://japan.cnet.com/news/sec/story/0,2000056024,20362570,00.htm?ref=rss

脆弱性の数で単純に「ウチの方が安全だ」と言いきってしまうあたり、傲慢というかマイクロソフトらしさがにじみ出ています。


個人的にはスピードとかいち早く採り入れたタブ機能、自由に選択してカスタマイズできるアドオンなどの多くの機能が魅力的に感じてFirefoxをメインに使うようになりました。


簡単なスプリクトで実現できるブラクラやうっとうしいポップアップウィンドウなどもデフォルトで防いでくれるし、なによりも煩わしく感じていたので、Firefoxをすぐに気に入った記憶があります。


仕事でウェブサイトを構築しているのですが、CSSとのマッチングもIEに比べるとFirefoxの方がかなりいいです。表示幅をピクセル単位で計算してページを作っても”float”を使って並べるとIEだと勝手にマージンをとってしまって、イメージどおりにならないんですよね。


あとは何といってもFirefoxの利点はマルチプラットフォームに対応していること。プロプライエタリなんて言ってるけど所詮Windowsでしか動かないんだから、MacもWindowsもLinuxもと、いろんな環境で使っているユーザにしてみればローカルネタでしかないように感じます。


タグ:Firefox
posted by media_aidem at 06:06 | Comment(0) | TrackBack(0) | セキュリティ

2007年11月27日

Quick Timeに脆弱性

 Appleの「Quick Time」でサポートされているプロトコルの極めて重大なセキュリティ上の脆弱性を利用する脆弱性実証コードが見つかり、セキュリティの専門家たちは注意を促している。

 Milw0rm.comによると、Windows Vista、Windows XP Professional SP2で動作するApple Quick Timeバージョン7.2および7.3が影響を受けることを確認したという。

 Computer Emergency Readiness Team(US-Cert)は、AppleのiTunesにはQuickTimeコンポーネントが含まれており、iTunesをインストールすることも危険であると指摘している。

 US-Certは、今回の脆弱性は、Appleの「Quick Time Streaming Server」および「Quick Time Player」でサポートされているReal Time Streaming Protocol(RTSP)で見つかったとしている。このため、ユーザーがQuick Time Media Linkファイルを通して悪意のあるRTSPストリームをダウンロードしたり、悪質なサイトを訪れたりした場合、システムが危険にさらされる可能性がある。攻撃者は、ユーザーのシステムからコードを勝手に実行したり、サービス拒否攻撃を開始したりすることが可能になる。

 Appleは11月上旬に発表したQuick Time 7.3で、前バージョン7.2で見つかった7つのセキュリティ上の脆弱性に対応した。しかし、この3日間セキュリティの専門家たちが指摘しているRTSPの脆弱性については手付かずのままになっている。

 US-Certでは、ユーザーに対し、今回見つかった脆弱性による危険性を最小限に抑えるためにInternet ExplorerのQuick Time Active Xコントロール機能、Mozillaベースのブラウザ用Quick TimeプラグインのほかJavaScript、Quick Timeファイルとの関連付けを無効にするなど、複数の回避策を講じるよう呼びかけている。他にも、信頼できないサイトからQuick Timeファイルをダウンロードしたりしないことも重要だとしている。

 セキュリティ会社のSecuniaでは、今回の脆弱性を5段階評価で最も高い「極めて重大(Extremely critical)」に設定した。


http://japan.cnet.com/news/sec/story/0,2000056024,20361821,00.htm?ref=rss

先日アップデートしたばかりのQuick Timeですが、脆弱性実証コードも見つかり非常に危険な状態にあるようです。


セキュリティには迅速に対応してくれるAppleですから、アップデートは近いうちにされるはず。それまでは元記事にあるように回避策を講じることをお勧めします。
posted by media_aidem at 15:27 | Comment(0) | TrackBack(0) | セキュリティ

2007年11月14日

マイクロソフト 今月の脆弱性

 Microsoftは米国時間11月13日、2007年11月のセキュリティ情報をリリースした。これに含まれる2件のアップデートのうち、1件は「緊急」レベルに分類されており、Windows XPおよびWindows Server 2003のWindows URI処理の脆弱性を修正する。もう1件は「重要」レベルに分類されており、Windows Server 2000およびWindows Server 2003で、なりすましを許す脆弱性を修正する。WindowsやOfficeソフトウェアに関するMicrosoftからのセキュリティパッチはすべて、「Microsoft Update」を介して、または以下に詳述されるセキュリティ情報のページから入手することができる。

MS07-061:緊急

 このセキュリティ情報には「Windows URI処理の脆弱性により、リモートでコードが実行される(943460)」というタイトルが付けられている。Windows XP SP2、Windows XP Professional x64、Windows Server 2003(x64、Itanium-based Systems)のユーザーに関係し、Windows 2000またはWindows Vistaユーザーには影響しない。「CVE-2007-3896」に詳述された脆弱性を修正する。Microsoftは「Windowsシェルが、特別に細工されたURIを処理する方法に、リモートでコードを実行される脆弱性があります。Windowsシェルが、これらのURIを十分に確認しない場合、この脆弱性を攻撃者に悪用され、任意のコードが実行される危険性があります。Microsoftは、この脆弱性が悪用される方法をInternet Explorer 7が使用されているコンピュータ上でのみ確認していますが、この脆弱性はWindowsファイルである Shell32.dllに存在しています。このファイルは、Windows XPおよびWindows Server 2003のすべてのサポートされているエディションに含まれています」と説明している。攻撃を受けると、リモートでコードを実行される危険性がある。

MS07-062:重要

 このセキュリティ情報には「DNSの脆弱性により、なりすましが行われる(941672)」というタイトルが付けられている。Windows Server 2000およびWindows Server 2003を使用するユーザーにのみ関係し、「CVE-2007-3898」に詳述された脆弱性を修正する。Microsoftは「Windows DNS Serversのなりすましの脆弱性により、攻撃者は、特別に細工した応答をDNSリクエストに送信し、なりすまし攻撃、または適正な場所からインターネットトラフィックをリダイレクトしたりする危険性があります」と説明している。攻撃を受けると、攻撃者により、適正なアドレスからでも乗っ取りを招く危険性がある。


http://japan.cnet.com/news/sec/story/0,2000056024,20361011,00.htm?ref=rss

マイクロソフト、今月の月例パッチは”緊急”と”重要”がひとつずつ。
いずれもリモートでパソコンが乗っ取られるという厄介なモノです。

扱いは”重要”ですが、パソコンの使い方としてネットを調べモノに使うという用途が一般化しているのにも関わらず、DNSがあてにならないのは致命傷です。

お使いのOSがいずれかの脆弱性に関連してしまっている場合は、速やかにパッチを充てるようにしましょう。
posted by media_aidem at 14:45 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。