1: ゆでたてのたまご ★ 2015/06/23(火) 14:38:42.49 ID:???*.net
「IE」にパッチ未公開の脆弱性--エクスプロイトをHP研究チームが公開
【CNET Japan】 2015/06/23 11:08
Hewlett-Packard(HP)の研究チームが、「Internet Explorer(IE)」の脆弱性を攻撃できる
エクスプロイトコードを公開した。Microsoftがパッチ公開を拒否したことを受けての措置だ。
HPのシニアセキュリティコンテンツデベロッパーDustin Childs氏はブログ投稿において、コードの公開は
「あてつけや悪意」によるものではなく、HPの情報開示ポリシーにのっとった措置だと説明している。
「われわれとのやりとりの中で、Microsoftは今回の研究結果に対策を講じる予定がないことを認めたため、
この情報を公表する必要性を感じた」とChilds氏は述べている。Microsoftは2015年、この脆弱性を発見した
同チームに12万5000ドルの報奨金を授与した(報奨金はのちに寄付された)にもかかわらず、脆弱性の修正は
行わないようだ。
攻撃者はこの脆弱性を利用することで、人気ブラウザIEに数多く備わる防衛線の1つ、アドレス空間配置の
ランダム化(ASLR)を回避することができる。脆弱性の影響を受けるのは32ビットシステムだけだが、HPの
チームは、最近では64ビットシステムが多いといっても、依然として多数のシステムが影響を受けると
述べている。
かつてMicrosoftに在籍していたChilds氏は、Microsoftの主張は「技術的には正しい」としながらも、パッチを
提供しない同社の決定を批判している。
パッチが提供されないこと受けて、HPのチームは「Windows7」と「Windows8.1」向けの概念実証(PoC)コードを
公開した。
https://github.com/thezdi/abusing-silent-mitigations
「Microsoftの意向に同意せず、PoCの情報をコミュニティーに公開するのは、影響を受けるユーザーが、自身の
インストールしている製品に適切と思われる措置を講じるためには、可能な限り十分な情報を
開示されるべきだと考えるからだ」(Childs氏)
研究チームは、システムを効果的に保護するためには「脅威を十分に理解」する必要があるとして、
コード公開が正当な措置であることを主張している。
ソース: http://japan.cnet.com/news/service/35066325/
【CNET Japan】 2015/06/23 11:08
Hewlett-Packard(HP)の研究チームが、「Internet Explorer(IE)」の脆弱性を攻撃できる
エクスプロイトコードを公開した。Microsoftがパッチ公開を拒否したことを受けての措置だ。
HPのシニアセキュリティコンテンツデベロッパーDustin Childs氏はブログ投稿において、コードの公開は
「あてつけや悪意」によるものではなく、HPの情報開示ポリシーにのっとった措置だと説明している。
「われわれとのやりとりの中で、Microsoftは今回の研究結果に対策を講じる予定がないことを認めたため、
この情報を公表する必要性を感じた」とChilds氏は述べている。Microsoftは2015年、この脆弱性を発見した
同チームに12万5000ドルの報奨金を授与した(報奨金はのちに寄付された)にもかかわらず、脆弱性の修正は
行わないようだ。
攻撃者はこの脆弱性を利用することで、人気ブラウザIEに数多く備わる防衛線の1つ、アドレス空間配置の
ランダム化(ASLR)を回避することができる。脆弱性の影響を受けるのは32ビットシステムだけだが、HPの
チームは、最近では64ビットシステムが多いといっても、依然として多数のシステムが影響を受けると
述べている。
かつてMicrosoftに在籍していたChilds氏は、Microsoftの主張は「技術的には正しい」としながらも、パッチを
提供しない同社の決定を批判している。
パッチが提供されないこと受けて、HPのチームは「Windows7」と「Windows8.1」向けの概念実証(PoC)コードを
公開した。
https://github.com/thezdi/abusing-silent-mitigations
「Microsoftの意向に同意せず、PoCの情報をコミュニティーに公開するのは、影響を受けるユーザーが、自身の
インストールしている製品に適切と思われる措置を講じるためには、可能な限り十分な情報を
開示されるべきだと考えるからだ」(Childs氏)
研究チームは、システムを効果的に保護するためには「脅威を十分に理解」する必要があるとして、
コード公開が正当な措置であることを主張している。
ソース: http://japan.cnet.com/news/service/35066325/
引用元: ・【IT】「IE」にパッチ未公開の脆弱性、HP研究チームが公表...Microsoftがパッチ公開を拒否 [15/06/23]
2: 名無しさん@1周年 2015/06/23(火) 14:39:44.87 ID:lI3L7HU90.net
ぜ い じ ゃ く せ い
3: 名無しさん@1周年 2015/06/23(火) 14:40:18.22 ID:zW/5ZsDd0.net
32bitは自然消滅するので作らない
4: 名無しさん@1周年 2015/06/23(火) 14:40:27.55 ID:GQeXIyC80.net
>最近では64ビットシステムが多い
そうなのか?
そうなのか?
18: 名無しさん@1周年 2015/06/23(火) 14:53:23.34 ID:YCOaaksI0.net
>>4
アプリが扱えるデータが4GB程度しかないからな
1時間のハイビジョン映画とか当たり前の時代にサ
64bitOSなら物理的には4GBの数億倍まで扱える
おサイフ的にはまだまだ限界はやってきそうにないので問題ないが
アプリが扱えるデータが4GB程度しかないからな
1時間のハイビジョン映画とか当たり前の時代にサ
64bitOSなら物理的には4GBの数億倍まで扱える
おサイフ的にはまだまだ限界はやってきそうにないので問題ないが
5: 名無しさん@1周年 2015/06/23(火) 14:40:57.87 ID:vCkZplkf0.net
永遠に脆弱性無くならないのか、他のブラウザと比べて圧倒的に多いだろ
30: 名無しさん@1周年 2015/06/23(火) 16:38:32.82 ID:HDQmyFMP0.net
>>5
利用者数が段違いに多いせいでIEは脆弱に見られがちだが、実際IE自体はかなり堅牢
Flashプラグイン関連除くとかなり少ない
尚、細やかなサポートとイメージ戦略で気付き辛いがFirefoxは毎週の様に脆弱性が発見されてたりするバグ最多ブラウザだったりする
利用者数が段違いに多いせいでIEは脆弱に見られがちだが、実際IE自体はかなり堅牢
Flashプラグイン関連除くとかなり少ない
尚、細やかなサポートとイメージ戦略で気付き辛いがFirefoxは毎週の様に脆弱性が発見されてたりするバグ最多ブラウザだったりする
38: 名無しさん@1周年 2015/06/23(火) 17:27:37.75 ID:YSoPjXKg0.net
>>30
そのJavaとflashobjectがハッキングの最多だろ
そのJavaとflashobjectがハッキングの最多だろ
12: 名無しさん@1周年 2015/06/23(火) 14:47:56.17 ID:e8sEth3v0.net
修正できるの?簡単には出来ないからなのか?
13: 名無しさん@1周年 2015/06/23(火) 14:49:35.80 ID:Rj+GxitP0.net
結果的にはIEユーザーに対する嫌がらせ
14: 名無しさん@1周年 2015/06/23(火) 14:50:17.87 ID:vn305J2E0.net
俺Chromeだから平気
15: 名無しさん@1周年 2015/06/23(火) 14:50:29.83 ID:nMRAAIF50.net
パッチwww
日本語で言えカスwww
日本語で言えカスwww
31: 名無しさん@1周年 2015/06/23(火) 16:48:31.05 ID:used8nHp0.net
>>15
つぎあてかw
つぎあてかw
21: 名無しさん@1周年 2015/06/23(火) 15:12:59.74 ID:QsMJD+810.net
32ビットはIEじゃなくてOSの話か
23: 名無しさん@1周年 2015/06/23(火) 15:24:29.14 ID:hPxL/s9S0.net
必死のパッチやな
24: 名無しさん@1周年 2015/06/23(火) 15:45:30.99 ID:OXtIdrcM0.net
10年以上I.Eはつかってない
OSから独立してれば削除したいくらいだ
OSから独立してれば削除したいくらいだ
27: 名無しさん@1周年 2015/06/23(火) 15:56:40.11 ID:uPLSQCGM0.net
XPでIE使ってます(´・ω・`)
29: 名無しさん@1周年 2015/06/23(火) 16:28:54.73 ID:7Orvs6Wz0.net
MS「いちいちパッチ連発するコストなんてあるか」
33: 名無しさん@1周年 2015/06/23(火) 16:58:27.30 ID:3HF3yFRh0.net
IEはとかく狙われやすいからね。企業ももっとも使ってるし。
だからIEを標的としたコードを仕込むサイトが最多という事情もあって
IEがもっとも危険なブラウザであるという事実は今までもこれからも変わらない。
CHROMEやFIREFOXはIEと較べて二番手三番手的なポジションだからこそセキュアと言われている部分もある。
Fireoxのバグ報告が多いのは、利用者の意識の違いが大きいだろうね。
Firefox自体強固なセキュリティを持ったブラウザだけども、
オープンソースという思考をもった人々が
もっとFirefoxの完成度を上げようと熱意をかけてるがゆえに
見た目のバグ報告が多い。
でも、それだけ熱心にバグ報告と、修正についても
CHROMEよりはるかに大勢の人間が関わってやってる。
CHROMEはその点、ソースコードが秘密のブラックボックスだからね。
そういう熱意を持つ人が少ない=バグを見つけたり報告する人が少ないので脆弱性が見つかりにくく、
修正もされにくいという側面もある。
だからIEを標的としたコードを仕込むサイトが最多という事情もあって
IEがもっとも危険なブラウザであるという事実は今までもこれからも変わらない。
CHROMEやFIREFOXはIEと較べて二番手三番手的なポジションだからこそセキュアと言われている部分もある。
Fireoxのバグ報告が多いのは、利用者の意識の違いが大きいだろうね。
Firefox自体強固なセキュリティを持ったブラウザだけども、
オープンソースという思考をもった人々が
もっとFirefoxの完成度を上げようと熱意をかけてるがゆえに
見た目のバグ報告が多い。
でも、それだけ熱心にバグ報告と、修正についても
CHROMEよりはるかに大勢の人間が関わってやってる。
CHROMEはその点、ソースコードが秘密のブラックボックスだからね。
そういう熱意を持つ人が少ない=バグを見つけたり報告する人が少ないので脆弱性が見つかりにくく、
修正もされにくいという側面もある。
![ワイルド・スピード SKY MISSION ブルーレイ+DVDセット [Blu-ray]](http://ecx.images-amazon.com/images/I/515-5v1A3fL._SX250_.jpg)
![ジョジョの奇妙な冒険スターダストクルセイダース エジプト編 Vol.3 (マグネットセット付)(初回生産限定版) [Blu-ray]](http://ecx.images-amazon.com/images/I/517BXJsQ3zL._SX250_.jpg)
そもそも今年IEが消えるだろ。