11/01/06 23:18:46
米Googleのセキュリティ研究者がWebブラウザの脆弱性を探し出すツールを公開し、
これを使って見つけたInternet Explorer(IE)の脆弱性がまだ修正されていないと指摘した。
米セキュリティ機関のSANS Internet Storm Centerが1月5日に伝えた。
脆弱性を探し出すツール「cross_fuzz」を個人のブログで公開したのは、Googleに勤務するマイケル・ザレウスキ氏。
同ツールはこれまでGoogleの社内のみで使っていたもので、ザレウスキ氏らはこれで主要なWebブラウザの脆弱性を発見し、
各社に通報していたという。
IEに関しては悪用可能な問題が複数見つかり、2010年7月にMicrosoftに通報したが、現時点でまだ解決されていないと
ザレウスキ氏は述べている。
このうちの1件については外部にも知られていると同氏は主張する。
ザレウスキ氏によると、Microsoftからは12月に連絡があり、cross_fuzzツールの公開延期を求められたという。
しかしMicrosoftから納得のいく説明がなかったため、同氏はこの要請を断ったとしている。
フランスのセキュリティ企業VUPENは、ザレウスキ氏が公開した情報をもとに、1月5日付でIEの脆弱性に関するアドバイザリーを公開した。
この問題を悪用された場合、リモートの攻撃者が細工を施したWebページを使って任意のコードを実行できてしまう恐れがあるとしている。
VUPENはWindows XP SP3とIE 8の組み合わせで脆弱性を確認、Windows 7/Vista、Windows Server 2008 R2なども影響を受けるとしている。
URLリンク(www.itmedia.co.jp)
2:名無しさん@お腹いっぱい。
11/01/06 23:44:51 KK65N9Ml
2
3:名無しさん@お腹いっぱい。
11/01/07 00:22:51
Windowsリスク
4:名無しさん@お腹いっぱい。
11/01/07 18:18:48
○○スキっていうとロシア人?
それともユダヤ人?
5:名無しさん@お腹いっぱい。
11/01/07 23:17:15
このツールが見逃しているパターンを探れば、
Chromeの脆弱性のヒントになるな。
6:名無しさん@お腹いっぱい。
11/01/08 19:33:45
ちなみにこれ。
URLリンク(lcamtuf.blogspot.com)
7:名無しさん@お腹いっぱい。
11/01/09 12:58:52
百済ねえ大義名分なんかどうでもいい。
IEのシェア喰うために公開しました、って素直に言えばいいのに。
8:名無しさん@お腹いっぱい。
11/01/09 14:33:09
いや、IE以外でも発見しているから。
Webkit, Chrome含めて。
IEが話題になっているのは、ずいぶん前に連絡したのに、
MSだけ対処しなかったから。
9:名無しさん@お腹いっぱい。
11/01/09 17:00:48 9+ZsNqAH
>>4 座礼臼杵
10:名無しさん@お腹いっぱい。
11/01/09 18:45:38
権威ある研究機関やセキュリティ企業でなく、個人のブログで公開するようなツールをいちいち相手してたらキリがないだろ。
このオッサンは名前出すだけでビビるような有名人なのか?
11:名無しさん@お腹いっぱい。
11/01/09 18:59:53
対応しきれないほどたくさん穴があるのかい?
12:名無しさん@お腹いっぱい。
11/01/09 19:01:48
IEは穴だらけだからFFを使うべし
13:名無しさん@お腹いっぱい。
11/01/09 19:16:54
Windowsぐらいだと、パッチができてからレビューに三カ月ぐらいかかる。
表ざたになっているとレビューが大きくはしょられる
14:名無しさん@お腹いっぱい。
11/01/09 19:38:10
悪戯とか嘘の情報も他のブラウザより桁違いに多いってこと。
なんせシェアNo1だしね。
15:名無しさん@お腹いっぱい。
11/01/09 19:52:00
>>13
それだけ時間がかかって危険なわけですね。