2009年04月13日

さすがIE w 迷惑なプラグイン

今更ながら・・・なのですが、WindowsXPを使い始めました
すでに半年ほど使い込んでいるLinux環境が手に馴染んでしまっていることもあり、あまり電源を入れることもなかったりするのですが、とりあえず現段階ではLinux環境では試すことができないGoogle Chromeを使ってみたりしています。


まがりなりにもWindowsを使い始めたということで、対岸の火事ではなくなったウィルスの脅威・・・やっぱり使うのよしましょうかねぇ。
browser_share.gif
貼り付けたサムネイルは筆者が運営しているいくつかのウェブサイトやブログのアクセス解析結果です。4月1日以降を対象にしています。

Internet なんちゃらという表示が非常に多いですね。
元記事にも『Internet Explorer以外のブラウザを使用・・・』と書かれています。春だし自分のフィーリングに合うウェブブラウザを探してみるのには、ちょうどいい時期なのかもしれませんね。



IEを狙うトロイの木馬が爆発的に感染中、ほかのブラウザの利用を--Doctor Web

 ネットフォレストは4月10日、2009年3月末からトロイの木馬「Trojan.Blackmailer」の複数の亜種が爆発的に感染しているという、Doctor Webによる警告を公表した。このトロイの木馬は、2008年9月のウイルス・スパムレビューでも注意を呼びかけていたが、その後、検出数が2009年3 月31日から急増。感染したPCは数百万台に達している見込みだという。

 このトロイの木馬は、マイクロソフトのInternet Explorerのプラグインとして動作し、ウェブサイトのコンテンツが読み込まれるたびに広告バナーを表示する。そしてユーザーに、SMSメッセージをマルウェア作者に送信して削除用の特別なコードを受け取るよう促す。

 新たな亜種の感染源は、性的な動画提供サイトを装ったウェブサイトのほか、JavaScriptなどをコンテンツに埋め込まれてしまった複数の正規サイトがある。このウイルスに感染すると、Windowsの標準的なツールではアンインストールができない。

 感染リスクを軽減するためには、Internet Explorer以外のブラウザを使用し、使用している基本ソフトや各種ソフトウェアを最新の状態に維持することが重要とDoctor Webは指摘。さらに、万が一感染しても、犯罪者の要求に従ってSMSメッセージを送ることは決してしないよう呼びかけている。


posted by media_aidem at 18:05 | Comment(0) | TrackBack(0) | セキュリティ

2009年03月06日

脆弱性に対応したFirefox 3.0.7がリリース

Firefox_3_0_7
オープンソースが徐々に浸透しています。でもLinux環境ではウェブブラウザひとつとっても、まだまだ選択肢が少ない状態です。そんなこともあり、Firefoxがマイナーバージョンアップする度になんだかほっとしてしまいます。


直接Firefoxのバグなのか自分のシステム特有のトラブルなのかわからなかったのですが、ある操作をすると8割方Firefoxがフリーズするという状況がx6では起こっていました。元記事に目を通してみると、セキュリティ系の脆弱性の修正がメインのようですが。個人的には目に前にあるトラブルが改善しているかどうか、ちょっと確認してみようと考えています。


モジラ、「Firefox 3.0.7」をリリース--複数の脆弱性に対応

 Mozillaは米国時間3月4日、ウェブブラウザの最新版「Firefox 3.0.7」をリリースした。開発者によると、「Firefox 3.0.6」で見つかったセキュリティ脆弱性8件に対応したという。このうちの6件が重要度が最も高い「最高」に分類されている(編集部注:セキュリティアドバイザリの数で見た場合は合計5件で、「最高」に分類されているのは3件となる)。

 Mozillaが同日付のセキュリティアドバイザリで警告しているところによると、Firefox 3.0.7で修正される脆弱性のうちもっとも深刻なものは、攻撃者によって任意のコードを実行される恐れがあるという。

 最高に分類されている6件の脆弱性は、ブラウザのガベージコレクション(Firefoxモジュールがコンピュータのメモリをどのように利用するのかをモニタするもの)のほか、ブラウザのPNGライブラリ、レイアウトエンジンとJavaScriptエンジンに影響を及ぼす。

 Mozillaの開発者は、「レイアウトとJavaScriptの脆弱性は、悪用される可能性があるかどうかはわからない」と述べている。

 「これらクラッシュの一部は、特定状況下でメモリ破壊の形跡が見られ、条件が整えば任意のコード実行に利用可能と思われる」とMozillaはアドバイザリで記している。

 最新版は、「Windows」「Mac OS X」「Linux」の各OSに対応し、Mozillaのウェブサイトよりダウンロードできる。Firefox 3ユーザーは48時間以内にアップデートの通知が送られることになっているが、ブラウザのヘルプメニューの「ソフトウェアの更新を確認」から手動でアップデートすることもできる。

 Firefoxは「Internet Explorer(IE)」の市場シェアを奪おうとしており、このたびのアップデートは2009年に入って2度目の更新となる。ウェブ調査会社Net Applicationsによると、Mozillaの世界ブラウザ市場シェアは21.77%で、IEは67.44%だという。IEは1年でシェアを7ポイント落としている。
posted by media_aidem at 11:51 | Comment(0) | TrackBack(0) | セキュリティ

2009年01月30日

ChromeとFirefoxに脆弱性?

HTMLやJavaScriptをある程度かじったことがあれば、来往者を任意のページに飛ばすという方法は簡単にできる作業であることがわかると思います。・・・簡単に出来るのは飛ばすだけですが。

今のところはっきりしているのは、Google ChromeとFirefox 3.0.5で脆弱性があること。
確認された環境はWindows XP SP2であることといったところ。

LinuxやMacOSだから安心ということではないのでしょうけれど、まだパッチの当たっていない脆弱性が存在することだけは心にとどめておいた方が良さそうですね。 


「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性

 セキュリティ研究者が、「Google Chrome」に影響を与えて「クリックジャッキング(clickjacking)」の危険をもたらす脆弱性を確認した。クリックジャッキングとは、攻撃者が正当なリンクを別のリンクに置き換えることによってブラウザの機能をハイジャックするというものだ。

 SecNiche Securityのセキュリティ研究者Aditya Sood氏によると、Googleはこの脆弱性をすでに認識しており、Chromeバージョン1.0.154.43および以前のバージョンへのパッチに取り組んでいる。Sood氏は、この脆弱性を「Windows XP SP2」上で実行されているブラウザで確認したという。

 Sood氏は米国時間1月27日にこの脆弱性を明らかにし、それ以降、メーリングリスト「Bugtraq」の脆弱性公開フォーラムに概念実証を投稿している。

 Sood氏は公開情報の中で、「攻撃者はユーザーを欺いて、意図していないアクションを実行させることができる。そうしたアクションを後で追跡する方法はない。ユーザーは別のページにおいて正しく認証されていたからだ」と述べている。

 Googleは修正に取り組んでいるが、同社オーストラリア部門の関係者は、クリックジャッキングはあらゆるブラウザに影響する可能性があり、Chromeに限った話ではないと指摘している。

 「(クリックジャッキングの)問題はウェブおよびウェブページが機能する設計のあり方と関係しており、特定のブラウザに対する単純な修正というものはない。われわれは標準化された長期的対応策を作成するため、ほかの利害関係者とともに取り組んでいる」

 しかし、オーストラリアのセキュリティコンサルタント企業Novologicaの最高経営責任者(CEO)で、独立系セキュリティ研究者の Nishad Herath氏がZDNet.com.auに語った話では、Sood氏の概念実証コードを実行したところ、「Internet Explorer 8」(リリース候補第1版、ベータ第2版)と「Opera 9.63」(最新版)ではこの脆弱性が確認されなかった。しかし、「Firefox 3.0.5」にはChromeと同様の脆弱性がみられたという。

 Google関係者によると、同社のセキュリティ研究者は実際にこの脆弱性を利用して行われた攻撃をいっさい確認していないという。

 クリックジャッキングはブラウザ攻撃の方法としては比較的新しい。2008年9月にニューヨークで開催されたOpen Web Application Security Projectのセキュリティカンファレンスで、セキュリティ研究者のRobert Hansen氏とJeremiah Grossman氏がクリックジャッキングについて発表を行った。この手の攻撃は、広義にはクロスサイトスクリプティングによる偽装のカテゴリに入るもので、攻撃者はHTMLやJavaScriptのコードを悪用し、任意のウェブサイトへのHTTPリクエストを強制的にブラウザから送信させる。

 Herath氏は、「つまりクリックジャッキングでは、今いるウェブサイト内で行うあらゆるやりとり、たとえばリンクのクリックといったものが、ユーザーの期待と違うことをしてしまう可能性がある」と説明した。

 「一見、Flickrの写真に張られているように見えるリンクをクリックしたとしても、実際にはまず、ドライブバイダウンロードと呼ばれる手法でマルウェアをダウンロードさせるサーバを通過させられる可能性がある。この種の攻撃では、ユーザーがすでにログインしているウェブサーバとのやりとりを、ユーザーが思いもしなかった方法で行わせる可能性がある。何が起きたのが、ユーザーは知ることさえない」
posted by media_aidem at 16:51 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。