« ココログ公式検索窓を設置して更に快適になろう。 | トップページ | トラックバックのやり方。(打ち方、送り方とか、その他マナー。) »

2005年5月11日 (水)

FireFox、IEのセキュリティ情報。

追記、下記投稿後、昨日(5月13日)FireFoxの1.0.4が出ました。早急にバージョンアップすることをお勧めします。

◎まずFireFox

 僕は前にもご紹介したようにFireFoxで拡張機能のPrefBarを使っています。ココログのメンテをする以外はJavaScriptをオフにしています。

 PrefBarとか使っていなくてオプションでやる場合、具体的にはツールメニュー→オプションで、左の窓で「Web機能」を選び、一番下の「JavaScriptを有効にする」のチェックをはずせばOKです。

 なお下記記事中の文中によれば、上記JavaScriptのオフ設定をしなくても、

 MozillaZineなどの情報では,JavaScriptを無効にしなくても,ソフトウエア・インストール機能を無効にするだけで回避できるとしている。具体的には,「ツール」メニューの「オプション」で表示される「Web機能」の「Webサイトによるソフトウェアのインストールを許可する」のチェックを外せば,ソフトウエア・インストール機能は無効になる(デフォルトではチェックされている)。

のようです。

◎つぎにIE

 月例のパッチは1個、それには含まれないらしい。しかし、「ベンダーによって深刻度の設定基準は異なるので断言はできないが,eEyeが発見したセキュリティ・ホールの深刻度は,Microsoftの基準では「緊急(Critical)」に設定される可能性が高い。」とのことだ。

 Microsoftのレベル分けでは「緊急、重要、警告、注意」で一番上である。しばらくはIEを使うのはひかえた方が賢明。


Firefoxに危険なセキュリティ・ホール,最新版1.0.3も影響を受ける
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050509/160506/

 デンマークSecuniaなどは現地時間5月8日,Webブラウザ「Firefox」に見つかった危険なセキュリティ・ホールを公表した。細工が施されたリンクをクリックするだけで,任意のプログラムを実行させられる可能性などがある。最新版のバージョン1.0.3も影響を受ける。対策は,オプション設定の「Webサイトによるソフトウェアのインストールを許可する」を無効にすることなど。

(略)

 MozillaZineなどの情報では,JavaScriptを無効にしなくても,ソフトウエア・インストール機能を無効にするだけで回避できるとしている。具体的には,「ツール」メニューの「オプション」で表示される「Web機能」の「Webサイトによるソフトウェアのインストールを許可する」のチェックを外せば,ソフトウエア・インストール機能は無効になる(デフォルトではチェックされている)。

 「信頼できないサイトへはアクセスしない」「信頼できないサイトのページへアクセスしてしまった場合には,そのページのオブジェクト(リンクなど)には触らない」「信頼できないリンクはクリックしない」――といったセオリーを守ることも,回避策として重要である。
(略)

米eEyeがIEなどのセキュリティ・ホールを再び発見,深刻度は「高」
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050509/160520/

 セキュリティ・ベンダーの米eEye Digital Securityは米国時間5月5日,Internet Explorer(IE)やOutlookなどが影響を受けるセキュリティ・ホールを発見したことを明らかにした。詳細については公表していないが,WebページやHTMLメールを開くだけで任意のプログラムを実行させられるようなセキュリティ・ホールだと考えられる。同社では「Severity(深刻度)」を「High(高)」に設定している。

 同社では,IEやOutlookなどが影響を受ける,深刻度「高」のセキュリティ・ホールを3月にも2種類発見している(関連記事)。これらの深刻度も「高」。今回のセキュリティ・ホールと同じように詳細は公表されていない。米Microsoftからセキュリティ情報やパッチが公開されていないためだ。公開され次第,eEyeから詳細な情報が公開されると考えられる。

 ただし,5月の月例セキュリティ情報として,Microsoftからこれらのセキュリティ情報やパッチが公開される可能性は低い。米国時間5月10日に公開される予定なのは,Windowsに関する「重要」のセキュリティ情報が1件だからだ(関連記事)。ベンダーによって深刻度の設定基準は異なるので断言はできないが,eEyeが発見したセキュリティ・ホールの深刻度は,Microsoftの基準では「緊急(Critical)」に設定される可能性が高い。

 セキュリティ情報やパッチが公表される前に,eEye以外の組織やユーザーからセキュリティ・ホールを突くようなページ(コード)が公開する可能性はある(関連記事)。「セキュリティ・ソフトを利用する」「信頼できないWebページ/HTMLメールを開かない」「信頼できないリンクやボタンなどをクリックしない」――といったセキュリティのセオリーを守ることで回避したい。

 なお,eEyeでは「Real Player(RealOne Player)」に関するセキュリティ・ホールも米国時間5月4日で発見したとしている。こちらも深刻度は「高」。細工が施されたファイルを読み込むと,中に仕込まれた任意のプログラムを実行させられる可能性があるという。同製品のユーザーはこちらについても注意したい。

◎参考資料
◆EEYEB-20050505
◆EEYEB-20050504

(勝村 幸博=IT Pro)


|

« ココログ公式検索窓を設置して更に快適になろう。 | トップページ | トラックバックのやり方。(打ち方、送り方とか、その他マナー。) »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/91038/4077993

この記事へのトラックバック一覧です: FireFox、IEのセキュリティ情報。:

« ココログ公式検索窓を設置して更に快適になろう。 | トップページ | トラックバックのやり方。(打ち方、送り方とか、その他マナー。) »