 Re: IEインターネットエクスプローラーについてお話ししましょう ( No.51 ) |
- 日時: 2016/02/11 08:59
- 名前: りり
- くりくりさん、情報ありがとうございます。
この手の文章は、一般の方には分かりにくいですね。
>このセキュリティ更新プログラムは、Internet Explorer の脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしているときに、攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピューターが制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります
簡単に言うと、悪意あるWeb ページにアクセスしただけで、遠隔操作され、コンピュータをのっとられるということですね。
いつも不思議に思うのですが、こういう更新が発表されるということは、実際にどこかで事例があり、緊急対応したということでしょうかね?
いつもOSやIEを最新にしておくことのほかに、やたらに怪しいサイトに近づかない、あと
>現在のユーザーが管理者ユーザー権限でログオン
とありますが、予防策として、普段は管理者ユーザーを使わないで、必要な時だけにするという方策をとると良いというのを聞いたこともあります。実際は、面倒でなかなかできないですが。
家族で一台のパソコンを使う場合は、管理者ユーザーを使う人は、限っておいたほうが良いかもしれませんね。
先日、何人かのパソコンを見る機会があったのですが、パスワードなしでのログオンの方も多いんですよね。
それに、見ている間に、更新プログラムの適用が始まり…時間が掛かるからいつも中断させていると…
必ず、それは終わらせてくださいと言ったのですが…
|
| Re: IEインターネットエクスプローラーについてお話ししましょう ( No.52 ) |
- 日時: 2016/02/11 10:52
- 名前: くりくり
- おはようございます。
セキュリティの話になってしまいますが
>更新が発表
こういうのはit企業のセキュリティ部門が発見して開発元やセキュリティを扱う機関に通報する。
そして対策が整うと情報を公にします。
感謝はここにのっています。
https://technet.microsoft.com/library/security/MS16-016
謝辞
マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。
>緊急対応
緊急対応に該当する場合はすでにゼロデイ攻撃が始まっている。
もしくは深刻な脆弱性が公になっている場合のみでしょう。
過去にwordpressでクロスサイトスクリプトの脆弱性が動画で公開されて慌てて修正バージョンがでました。
しかし、jpcertなんかで注意喚起(深刻で影響範囲の広い、情報セキュリティ上の脅威など最新のセキュリティ情報を配信)といわれてるんだけど、開発元は深刻と考えてなくて修正バージョンがでたのは一週間後。
|
| Re: IEインターネットエクスプローラーについてお話ししましょう ( No.53 ) |
- 日時: 2016/02/11 13:24
- 名前: o6asan
- > いつもOSやIEを最新にしておくことのほかに、やたらに怪しいサイトに近づかない、
ここ最近,上記の前半がさらに重要になってきた理由としては,後半の「怪しいサイトに近づかない」を
守っていても,正規サイトを見に行くだけで悪質なプログラムに感染するということが多くなってきたからです。
下記のurlが参考になると思います。参照先はトレンドマイクロのサイトなので,最終的にウイルスバスター クラウドの
コマーシャルになってしまっていますが  ,昨年はこの事例が国内でも多く見られるようになった年でした。
http://channel.trendmicro.co.jp/vb/archives/824
下記も参考になると思います。
http://www.atmarkit.co.jp/ait/articles/1512/21/news017.html
http://www.atmarkit.co.jp/ait/articles/1512/21/news017_2.html
脆弱性は,善意の第三者が当該の企業や管理者等報告をすることが多いようです。
第三者というのは,プロもアマチュアも含まれています。
また,一般の人たちには,パッチか回避策が提供できるまで,どんな脆弱性かは知らされないのが普通です。
が,それが攻撃側に知られてしまっている場合は,ゼロデイ攻撃になります。
ベンダーのほうとしては,ゼロデイ攻撃の前に穴を防ぐことが急務となるわけです。
ユーザのほうは,パッチが出たらすぐにあてるのが急務ですね。 
|
| Re: IEインターネットエクスプローラーについてお話ししましょう ( No.54 ) |
- 日時: 2016/02/11 14:09
- 名前: くりくり
- o6asanさんこんにちは
そうでした。
企業にかかわらずプロアマとでした。
googleがmicrosftに報告した時の印象が頭に残っていたので
それをかいちゃいました。失礼しました。
それに今回のopensslを報告したのは普通の人ぽいし。
で話はかわりますがieの調子が悪いので無効化しました。
うちのサーバーにアクセスしてくるブラウザはchromeかFireFoxがほとんどです。
ieは15パーくらいかな。
|
| Re: IEインターネットエクスプローラーについてお話ししましょう ( No.55 ) |
- 日時: 2016/02/11 18:05
- 名前: o6asan
- >>53 の「第三者というのは,プロもアマチュアも含まれています。」
の補足です。上記だと,「個人」というように読めますが,もちろん,団体―企業・大学など―も入ります。
ところで,インターネット・エクスプローラーなんですが,Windows10にしてから32ビット版が不調です。
更新の来るたびに,今度はよくなっているのではと期待して起ち上げるのですが,今回も不調はよくなり
ませんでした。バージョンはもちろん11です。
日頃はほとんど使わないので,それほど困ってはいないんですが……
|
IEインターネットエクスプローラーについてお話ししましょう