2007年04月06日

Vista上で再びブラウザ戦争勃発か?

 Mozillaが、Windowsの脆弱性に対し独自の修正を加えることを検討している。この脆弱性により、Windowsを実行しているPCが乗っ取られる可能性がある。

 Microsoftは、Windowsアニメーションカーソル処理の脆弱性を悪用した攻撃が始まっていることから、月例パッチのリリース日(毎月第2火曜日)を待たずに、修正パッチを公開した。この脆弱性は、ユーザーが悪意あるウェブサイトや電子メールを閲覧した際に、攻撃者にPCを乗っ取られる可能性があるというもの。

 この脆弱性は、アニメーションカーソルファイルの扱いをOSに依存しているすべてのWindowsアプリケーションで悪用されるおそれがある。 Mozillaのウェブブラウザ「Firefox」も影響を受けるアプリケーションの1つ。Firefoxは、最新バージョンでセキュリティ機能が追加された「Internet Explorer 7」と比べて「Windows Vista」のユーザーをより大きな危険にさらしていると、一部のセキュリティ専門家から批判されている。

 Mozillaのエンジニアリング担当バイスプレジデントMike Schroepfer氏は声明で「脆弱性はWindowsのエラーによるものだ・・・Firefox経由でもInternet Explorer経由でも悪用が可能だ。われわれは、Firefoxの次のセキュリティリリースに、問題を回避するための対応策を搭載できないか、調査している」と述べた。

 Firefoxでの対応策は、さまざまな理由からMicrosoftの修正をインストールしないユーザーに、歓迎されるかもしれない。 Microsoftのセキュリティパッチを適用した一部のシステムにおいては、互換性をめぐる不具合も発生していると報告されている。 Schroepfer氏は「MicrosoftがWindowsの脆弱性を修正するパッチをリリースしている。すべてのWindowsユーザーが直ちにこのアップデートをインストールするよう推奨する」と述べた。

 Determinaのセキュリティ専門家は、この脆弱性の悪用によりVista PCへの侵入が可能になる様子や、FirefoxユーザーがInternet Explorer 7ユーザーと比べてどのくらい大きなリスクにさらされるのかを説明するビデオを公開している。Determinaは、アニメーションカーソル処理の脆弱性をMicrosoftに報告した企業である。


http://japan.cnet.com/news/sec/story/0,2000056024,20346496,00.htm?ref=rss

一昨日のコラムで、生意気にも「提供されているものをそのまま使うだけなんてやっぱり嫌なんです。」なんてことを書きました。あれもこれもMicrosoftという現状、良くも悪くもMicrosoftに踊らされているのはもう飽きたので・・・。

Firefoxは、最新バージョンでセキュリティ機能が追加された「Internet Explorer 7」と比べて「Windows Vista」のユーザーをより大きな危険にさらしていると、一部のセキュリティ専門家から批判されている。

でもやっぱり言わせてもらいます。いままではザルのようなセキュリティを”誇っていた”IE6で全Windowsユーザを危険に晒していたのはもうお忘れのようですな。(^^)

Hackin a Vista PCという動画を見てみました。デスクトップの右下あたりにコマンド端末系のアプリケーションが確認できますけど、なんだかよくわかりませんでした。仮想化ソフト上でVistaを動かしてウイルス感染の様子をライブ中継しているのでしょうか?

ともかく、個人的にはMozillaの起こそうとしている行動には賛同できます。外部からパソコンへの侵入口としてターゲットにされているウェブブラウザですから、セキュリティは高められるだけ高い方がいいhはずです。たとえ今は低くても、いずれどちらが高くなるかは明らかですから。


posted by media_aidem at 08:36 | Comment(0) | TrackBack(1) | セキュリティ

2007年04月04日

"カーソル脆弱性”で月例パッチ前倒し

 Microsoftは月例パッチのリリース予定日より1週間早い米国時間4月3日、Windowsのセキュリティアップデートを公開した。

 Microsoftは、Windowsアニメーションカーソル処理の脆弱性を悪用した攻撃がすでに始まっていることから、月例パッチのリリース日を待たずに、修正パッチの公開に踏み切った。影響を受けるソフトウェアにはWindows Vistaも含まれる。アップデートには、そのほか6件のWindows脆弱性に対処するパッチも含まれている。

 このたびのセキュリティ情報「MS07-017」で修正されたWindowsアニメーションカーソル処理の脆弱性は、「緊急」レベルに分類されている。

 この脆弱性は、ユーザーが悪質なウェブサイトを訪問した場合、または特別に作成した電子メールメッセージを表示した場合に、リモートでコードが実行される恐れがあるというもの。

 脆弱性の詳細が先週ネットで明らかにされると、攻撃者らはすぐにこれを悪用し始めた。セキュリティベンダーのWebsenseは、バグの悪用を試みるウェブサイトを100カ所以上と、これらの悪質なサイトへのリンクが張られたスパムメール活動を1種類発見している。


http://japan.cnet.com/news/sec/story/0,2000056024,20346411,00.htm?ref=rss

いままではなんとなく脆弱性なんて言葉でひとくくりして、「詳細はユーザに知らされないままなのか」なんて考えていましたが、よくよく調べてみると詳細ページはきちんとリリースされていました。

カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)

ただ、具体的にどんな項目にチェックすればいいのかといった注意事項などはなく、「ウィンドウズアップデートしとけよ」といった程度なのはやっぱり腑に落ちません。こんなこと書くと変り者扱いされるかもしれませんが提供されているものをそのまま使うだけなんてやっぱり嫌なんです。

ページにアクセスしたりすると処理を始めるスプリクトを防御すればいいのか、それとも他になにか手だてがあるのか・・・。

だいたい脆弱性なんて書くと関係ないふうを装っているみたい。(^^)正直に言えよプログラムミスだって

とにかく”悪意あるウェブサイト”はすでに見つかっているようなので、自己防衛して不測の事態に備えましょう。
posted by media_aidem at 17:06 | Comment(0) | TrackBack(0) | セキュリティ

2007年03月27日

ヤフー発 パスワード相互認証プロトコル

 ヤフーはこのほど、産業技術総合研究所とウェブ利用に適したパスワード相互認証プロトコルを開発したと発表した。

 このプロトコルは、「PAKE(Password Authenticated Key Exchange)」と呼ばれる方式のひとつであるISO/IEC 11770-4のプロトコルを基盤として設計したもの。ユーザーにとっては、使い慣れたIDとパスワードを利用するだけでよく、サービス提供者はユーザーに新たな負担を強いることなく導入できる相互認証方式となっている。

 この方式では、ユーザーが入力したパスワードは乱数を用いて暗号学的に加工されてサーバに送信され、一方サーバ側は、そのユーザーのパスワードとして事前に登録されている情報を加工してユーザーのコンピューターに返す。ユーザー側でも、そのサーバが自分のパスワードを過去に登録したサーバであるかを検証することが特徴となっている。

 また、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用することで、フィッシング防止にも有効となる。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもない。さらに、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。

 ヤフーでは、これまでにプロトコル仕様の設計を終え、この技術を実装したサーバモジュールとブラウザ拡張機能を試作している。2007 年度中に「Yahoo! オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証する。今後、本プロトコル仕様のRFC化に向けた手続きとしてインターネットドラフトを起草し、将来的にはオープンソースコミュニティにソースコードを提供して、ウェブにおけるパスワード相互認証の技術標準としての確立を目指す考えだ。


http://japan.cnet.com/news/sec/story/0,2000056024,20345842,00.htm?ref=rss

どことはあえて公言しないけれど、サービス提供側が、ある日を堺にWeb2.0を導入したサービスに切り替えたことでかなり使い勝手が悪くなったサイトがあります。運悪く毎日欠かさず巡回するページなので、個人的にはかなりヘコんでしまっています。

その点、ヤフーと産業技術総合研究所の開発したプロトコルはユーザの負担増がまったくなく、ユーザビリティに優れていることを物語っていますね。オークション詐欺はともかく、もうひとつの心配の種であるフィッシング詐欺の防止につながる開発は大変いいニュースという印象を受けます。将来的にはオープンソースコミュニティにソースコードを提供という意見も賛同できる内容。早期の実装を期待しましょう。
posted by media_aidem at 09:37 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。