追記: Internet Explorer に対するゼロデイ攻撃
以下はマイクロソフトの オフィシャル よりの引用となります。
現在も調査中とのことですので、解決されるまでは FireFox3 などに切り替えておくことをおすすめします。
マイクロソフト セキュリティ アドバイザリ (961051)
Internet Explorer の脆弱性により、リモートでコードが実行される
公開日: 2008年12月11日 | 最終更新日: 2008年12月15日
Internet Explorer の新たな脆弱性に対する攻撃が一般に報告され、マイクロソフトは現在その件に関して調査中です。現在までのマイクロソフトの調査では、これらの攻撃が行われるのは Windows XP Service Pack 2、Windows XP Service Pack 3、Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2、Windows Vista、Windows Vista Service Pack 1 および Windows Server 2008 のサポートされているエディション上の Windows Internet Explorer 7 に対してのみです。しかしながら、すべてのサポートされているバージョンの Microsoft Windows の Microsoft Internet Explorer 5.01 Service Pack 4、Microsoft Internet Explorer 6 Service Pack 1、 Microsoft Internet Explorer 6 および Windows Internet Explorer 8 Beta 2 が影響を受ける可能性があります。
今回のこのアドバイザリの更新は、最も効果的な回避策について、新しい回避策および推奨策に関する情報を提供するものです。
Internet Explorer のデータ バインディング機能のポインター参照が無効であるため、この脆弱性が存在します。 データ バインディングが有効 (これが既定の状態です) である場合、特定の状況でオブジェクトが配列の長さを更新せずにリリースされるため、削除されたオブジェクトのメモリ空間にアクセスできる可能性があります。 これは Internet Explorer が予期せずに終了する原因となり、この状態で脆弱性の悪用が可能となります。
現時点で、マイクロソフトは Windows Internet Explorer 7 に対し、この脆弱性を悪用しようとする限定的な攻撃のみを確認しています。これらの攻撃に関する現在までの調査で、マイクロソフトはこのアドバイザリで説明している回避策を適用しているお客様に対して、攻撃は成功しないことを確認しています。さらに、この脆弱性の悪用をさらに困難にする問題を緩和する要素があります。マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) および Microsoft Security Response Alliance (MSRA) プログラムで積極的にパートナーと協力しています。 さらに、マイクロソフトはパートナーと協力し、脅威の展望を監視し、この脆弱性を悪用しようとする悪意のあるサイトに対する措置を講じます。
現在の動向として、SQLインジェクションによって、攻撃コードを埋め込むためにウェブサイトが攻撃される可能性があります。 あなたが、ウェブサイトの管理者の場合、セキュリティ アドバイザリ 954462 をご覧ください。本アドバイザリには、SQL インジェクションによる被害に合わない様に、ウェブサイト上のWebアプリケーション コードを分析するためのツールに関する情報を提供します。
マイクロソフトはこれらの攻撃が悪用しようとしている脆弱性を積極的に調査しています。マイクロソフトは引き続き脅威の環境を監視し、この状況に変化が生じた場合、このアドバイザリを更新する予定です。この調査が完了次第、マイクロソフトは、お客様を保護する適切な措置を講じます。その際は、サービスパック、マイクロソフトの月例のセキュリティ更新プログラムのリリースプロセス、またはお客様のニーズにより、定例のサイクル以外のセキュリティ更新プログラムを提供します。
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウイルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。詳細情報は マイクロソフト セキュリティ At Home をご覧ください。
問題を緩和する要素:
•Windows Vista の Internet Explorer 7 および Internet Explorer 8 Beta 2 の 保護モード はこの脆弱性の影響を制限します。
•既定で、Windows Server 2003 上の Internet Explorer および Windows Server 2008 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行します。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」です。
•攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じ権限を取得する可能性があります。コンピューターでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
•既知の攻撃は電子メールにより自動的にこの問題を悪用することはできません。
現在も調査中とのことですので、解決されるまでは FireFox3 などに切り替えておくことをおすすめします。
マイクロソフト セキュリティ アドバイザリ (961051)
Internet Explorer の脆弱性により、リモートでコードが実行される
公開日: 2008年12月11日 | 最終更新日: 2008年12月15日
Internet Explorer の新たな脆弱性に対する攻撃が一般に報告され、マイクロソフトは現在その件に関して調査中です。現在までのマイクロソフトの調査では、これらの攻撃が行われるのは Windows XP Service Pack 2、Windows XP Service Pack 3、Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2、Windows Vista、Windows Vista Service Pack 1 および Windows Server 2008 のサポートされているエディション上の Windows Internet Explorer 7 に対してのみです。しかしながら、すべてのサポートされているバージョンの Microsoft Windows の Microsoft Internet Explorer 5.01 Service Pack 4、Microsoft Internet Explorer 6 Service Pack 1、 Microsoft Internet Explorer 6 および Windows Internet Explorer 8 Beta 2 が影響を受ける可能性があります。
今回のこのアドバイザリの更新は、最も効果的な回避策について、新しい回避策および推奨策に関する情報を提供するものです。
Internet Explorer のデータ バインディング機能のポインター参照が無効であるため、この脆弱性が存在します。 データ バインディングが有効 (これが既定の状態です) である場合、特定の状況でオブジェクトが配列の長さを更新せずにリリースされるため、削除されたオブジェクトのメモリ空間にアクセスできる可能性があります。 これは Internet Explorer が予期せずに終了する原因となり、この状態で脆弱性の悪用が可能となります。
現時点で、マイクロソフトは Windows Internet Explorer 7 に対し、この脆弱性を悪用しようとする限定的な攻撃のみを確認しています。これらの攻撃に関する現在までの調査で、マイクロソフトはこのアドバイザリで説明している回避策を適用しているお客様に対して、攻撃は成功しないことを確認しています。さらに、この脆弱性の悪用をさらに困難にする問題を緩和する要素があります。マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) および Microsoft Security Response Alliance (MSRA) プログラムで積極的にパートナーと協力しています。 さらに、マイクロソフトはパートナーと協力し、脅威の展望を監視し、この脆弱性を悪用しようとする悪意のあるサイトに対する措置を講じます。
現在の動向として、SQLインジェクションによって、攻撃コードを埋め込むためにウェブサイトが攻撃される可能性があります。 あなたが、ウェブサイトの管理者の場合、セキュリティ アドバイザリ 954462 をご覧ください。本アドバイザリには、SQL インジェクションによる被害に合わない様に、ウェブサイト上のWebアプリケーション コードを分析するためのツールに関する情報を提供します。
マイクロソフトはこれらの攻撃が悪用しようとしている脆弱性を積極的に調査しています。マイクロソフトは引き続き脅威の環境を監視し、この状況に変化が生じた場合、このアドバイザリを更新する予定です。この調査が完了次第、マイクロソフトは、お客様を保護する適切な措置を講じます。その際は、サービスパック、マイクロソフトの月例のセキュリティ更新プログラムのリリースプロセス、またはお客様のニーズにより、定例のサイクル以外のセキュリティ更新プログラムを提供します。
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウイルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。詳細情報は マイクロソフト セキュリティ At Home をご覧ください。
問題を緩和する要素:
•Windows Vista の Internet Explorer 7 および Internet Explorer 8 Beta 2 の 保護モード はこの脆弱性の影響を制限します。
•既定で、Windows Server 2003 上の Internet Explorer および Windows Server 2008 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行します。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」です。
•攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じ権限を取得する可能性があります。コンピューターでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
•既知の攻撃は電子メールにより自動的にこの問題を悪用することはできません。
