エフセキュアブログ

by:サラ・ジャマルディン

アップデート:IE脆弱性(セキュリティアドバイザリ 2488013)

  2010年12月23日に初めて報告されたInternet Explorerの脆弱性はまだ修正されていないが、Microsoftがアドバイザリをアップデートし、この問題の回避策および緩和策を紹介している。

  IEを使用していないユーザは、修正が行われるまでIEオプションはオフにしておくことが望ましい。IEを使用する必要のあるユーザは、以下の回避策を実装することをお薦めする:

  • IEでCSSスタイルシートの再帰的ローディングを停止する

  • Enhanced Mitigation Experience Toolkit(EMET)を利用する、そして

  • インターネットおよびローカル・インターネット・セキュリティゾーン・セッティングを「High」にする


  回避策を導入するための詳細な方法については、更新された「セキュリティアドバイザリ 2488013」に掲載されている。これらの回避方法を有効にするには、最新のセキュリティアップデート(MS10-090)がインストールされている必要がある。

  引き続き最新情報を待ってほしい。

Patch Tuesday 2010年11月版

  Microsoftから最新のパッチがリリースされた。これはリモートコード実行および権限昇格を招く可能性のある複数の脆弱性を解決するものだ。

  今月、影響を受けた製品は「 Microsoft Office (MS10-087)」「Microsoft PowerPoint (MS10-088)」「Forefront Unified Access Gateway (MS10-089)」だ。

  これらのパッチは、Microsoft Download Centerでダウンロードできる。

Adobe ReaderおよびAcrobatのセキュリティ・アップデート

  今月初め、Adobeは3つの製品に影響を与える脆弱性の問題に対処した。すなわち、Flash Player、ReaderおよびAcrobatだ。Flash Playerの問題は、「Adobe Flash Player 10.1.53.64セキュリティ・アップデート」で比較的素早く解決されたが、他の2製品に関しては、後日、2010年6月29日にアップデートを公開するという約束が示されただけで、同等の熱意は向けられなかった。

  約束通り、Adobe ReaderとAcrobatのセキュリティ・アップデートがついに公開された。必要な最新バージョンはここからダウンロードできる。

Charlie MillerとのPwn2Ownインタビュー

  2年続けてPwn2Ownコンテスト(管理人註:ハッキングを競う形式で脆弱性を探し、システムやOSの安全性向上をはかるのために開催されているコンテスト)の勝者となったCharlie Millerが、インターネット・セキュリティについての見解を語っている。何と、Mac OSはMicrosoft Windowsに劣らず脆弱なのだ。

Windows 7あるいはSnow Leopardという2つの商用OSは、ハックがより難しいでしょうが、それは何故ですか?

Windows 7の方がやや難しいですが、それは完全なASLR(Address Space Layout Randomization:アドレス空間レイアウト・ランダム化)を実装しており、攻撃にさらされる面(たとえばデフォルトのJavaやFlash)がより小さいという理由によります。Windowsはかつて、完全なASLRとDEP(data execution prevention:データ実行防止)を実装していたため、より難しかったものです。しかし最近、Black Hat DCでの講演で、これらのプロテクションをWindowsのブラウザで如何に回避するかが示されました。

  攻撃の影響を受けないオペレーティング・システムやブラウザは存在しないのだ。

OSとブラウザの組み合わせで、より安全なものは何だと思いますか?

良い質問ですね。Windows 7でChromeもしくはIE8を、Flashをインストールせずに使うという組み合わせでしょう。どちらのブラウザにするか、あれこれ考えるほどの違いは、おそらくありません。肝心なのはFlashをインストールしないことです!

  同インタビューは、OneITSecurityのMatteo Campofioritoにより行われた。完全版はここで読むことができる。

ブラックホーク・ダウン

  「Black Hawk Safety Net」として知られる、オンライン・ハッカー養成活動を閉鎖した中国当局に賛辞を送る。

  Black Hawk活動は、トロイの木馬やサイバー攻撃技術のレッスンなどを提供するもので、1万2000人の有料会員と、12万人の無料メンバーで構成されている。

  Black HawkのWebサイトを運営していた3人が逮捕され、同サイトは現在アクセス不能となっている。警察は手入れの際、9台のサーバ、5台のコンピュータおよび車を一台の押収も行った。

  詳細については、Yahoo! Newsで読むことができる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード