パスワードを忘れた? アカウント作成
10924000 story
Windows

IE6~11に新たな脆弱性が発見される。Windows XP向けの対応はなし 63

ストーリー by hylom
もうサポートは終わったのです 部門より
あるAnonymous Coward 曰く、

4月26日、Microsoftがセキュリティアドバイザリ2963983日本語訳)を公開した。対象はInternet Explorer 6~11で、IEを実行中のユーザーの権限で任意のコードが実行される可能性があるという。

これに対応するセキュリティ更新プログラムはまだリリースされておらず、当面の対策としてEMET 4.1以降の有効化や「ActiveXコントロールおよびアクティブスクリプト」のブロック(=JavaScriptを無効にする)、「VGX.DLLの登録を解除する」などが提示されている。

対策として「VGX.DLL」が挙げられているということで、今回の脆弱性はブラウザ上でベクター画像を描画するVML絡みの問題である可能性がある。VML絡みの脆弱性は2006年にも確認されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • タイトルからXPには脆弱性修正パッチが配布されないと読んで、そりゃそうだろうと思ったのですが本文にはXPに関する言及がない。
    セキュリティアドバイザリ2963983文書中の「影響を受けるソフトウェア」のオペレーティングシステムの項目の中にXPが無いことをもって「対応はなし」ということかな。
    "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"をXPで実行してもでもだめかな?
    検証できる環境がないから試せない。

    • by kmra (33703) on 2014年04月28日 22時01分 (#2590474) 日記

      その方法で大丈夫な様です。手元のXP SP3で確認しました。
      http://d.hatena.ne.jp/Kango/20140427/1398602077 [hatena.ne.jp]

      (5) VMLコンポーネントを無効にする

      攻撃に悪用されているVMLコンポーネントを無効化することで影響を緩和できる様です。具体的には次のコマンドを実行してVGX.dll無効化します。

      "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

      親コメント
    • by Anonymous Coward on 2014年04月30日 10時20分 (#2591372)

      IE6~11の深刻な脆弱性の対策ソフト「IE_Remove_VGX_DLL」 Ver0.1の公開を開始しました
      http://blog.livedoor.jp/khb02323/archives/51312045.html [livedoor.jp]

      親コメント
    • by Anonymous Coward

      今までもサポート終了したOSについては影響を受けるのかどうかの調査すらされなかった。IE6が出ているのも、Windows Server 2003 R2のサポートが続いているからに過ぎない。

      • by Anonymous Coward

        Windows XP Embeddedぉ

        • by Anonymous Coward

          そういやEmbeddedのセキュリティ情報ってどこで入手できるの? 通常のアドバイザリには書かれていないみたいだけど。

  • InternetExplorerのゼロデイ(CVE-2014-1776)をまとめてみた - piyolog
    http://d.hatena.ne.jp/Kango/20140427/1398602077 [hatena.ne.jp]

  • 今テレビを見てたら、IEの脆弱性の紹介の後に、ブラウザのシェアの紹介があって、Chrome のシェアがIEを超えたとか。
    こういう報道の仕方はやめて欲しいなぁ...
    何も考えずに Chrome をインストールして安心する人が増えそうです。

    • by Anonymous Coward

      何も考えずに Chrome をインストールすればいいんじゃないの?
      何も考えずに標準でついてるソフトしか使わないんじゃこう言う時に困るんだから。

      • by Anonymous Coward

        何も考えずに行動されるととても迷惑だな。

        「IEの脆弱性の対応のため、IEの使用をやめて他のブラウザに変える必要があります。
        推奨はGoogle Chromeです。以下のリンクからダウンロードしてインストールしてください」

        って書いてマルウェアをダウンロード・インストールさせる標的型攻撃が発生したらどうするの?

        IEの脆弱性を避けるためにChromeにした人を狙って、Chromeの0day攻撃が始まったらどうするの?

        だから、本当の最適解は他のブラウザを使うのではなく、IEを使う上での回避策を施すのが正しいんだよね。

        何も考えずに使うなら、標準でついてるソフトだけを使うのがマシなんだよ、覚えておいてね。

        • うーん。前に、そういう記事がどっかにあったはずだけどみつからない。
          この話は、少しまゆに唾つけた感じでお願いしたいのだが。
          chromeは(chromeに限らずだが)、公式でないダウンロードサイトからダウンロードして、ついでにマルウェアに感染する人がいる。
          みたいな警告がどっかのニュースサイトに上がった記憶があるんだよな。

          --
          ==========================================
          投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
          親コメント
    • by Anonymous Coward

      むしろWebサイトを見ただけでウィルス感染とか、何を今更な内容に愕然。
      IEやOutlookを使ってればこんなのは日常茶飯事なんだから、侵入してきたウィルスにウィルス対策ソフトがちゃんと機能するかとか、ウィルス観戦するくらいの余裕がないと。

  • by Anonymous Coward on 2014年04月28日 20時12分 (#2590381)

    素人なのでブラウザがベクター画像を表示するなんて場面を想像出来ないのですが、どんな時にvgx.dllが使われるのでしょうか?

    • ベクター画像にもいろいろな形式があるので、 #2590704 の人が言う通り、ベクター画像で一括りにしているのは混乱の元。 vgx.dll の登録を解除しても、表示されなくなるのは VML 形式のベクター画像だけで、 SVG 形式のベクター画像は変わらず表示される。

      SVG 形式のベクター画像なら、あちこちに使われている。例えば Google トレンド [google.co.jp]でページ右側に表示されているグラフとか、これに限らずグラフ等の画像をインタラクティブに変更する必要がある場合には、よく使われる。ただし、今問題になっている VML 形式ではないので、今回の脆弱性とは関係ないはず。

      ブラウザーで VML 形式のベクター画像が必要な状況は知らない。 SVG が使えない昔の IE に対応する必要があって、しかもベクター画像形式が必要な場合くらい?

      親コメント
    • by Anonymous Coward

      vgx.dllが使われるかどうかはしらないけど、wikipediaに行けばsvg使ってるページなんか腐るほどあるよ。

      • それは画像の元が SVG なだけで、ウィキペディアの記事の中では、 SVG 画像をサーバー側で PNG に変換したものが使われていると思う。

        親コメント
      • by Anonymous Coward

        調べてみてやっと理解できた
        なんとWindowsのデフォルト設定では拡張子svgがIEに関連付けされていて、IEがWindowsの正式なsvg表示コンポーネントになっていたとは........
        とりあえずの対症療法としてsvgは別のソフトに関連付けしておくか

        • by Anonymous Coward

          とりあえずInkscapeをインストールしてsvgの関連付けを変えた
          vgx.dllはマシンをPuppy Linuxでブートしなおしてから削除する予定(別のアプリケーションの動作に支障が出たら元に戻すかもしれないが)

          • by Anonymous Coward

            SVG≠VMLなのでは?

            • by Anonymous Coward

              IE11まで影響受けるのは古いドキュメントモードでまだVMLをサポートしてるからで、IE9以降のSVG実装はvgx.dllを使っていないはず。

          • by Anonymous Coward

            脆弱性の詳細がよくわからんからはっきりとしたことは言えないけど,
            Webサイトから突ける脆弱性だったら全く意味がない

        • by Anonymous Coward

          「ベクタ画像」でひとくくりにしている元質問がおかしすぎるだけで(「素人なので」と予防線を張ってはいるが)、VMLが影響受けるからってベクタ画像が何でもかんでも影響受けるわけじゃないよ。
          むしろVMLは太古のIE5時代から引きずっている遺物だからいつまでたっても脆弱性がなくならないと見るべき。MSの製品は新しいほどものどんどんセキュリティへの配慮が増して安全になってる。

        • by Anonymous Coward

          > とりあえずの対症療法としてsvgは別のソフトに関連付けしておくか

          それ意味ないよ。
          拡張子の関連づけとMIMEタイプは別物(だからこそ拡張子偽装という芸当ができる)。

    • by Anonymous Coward

      Explorer Canvasで8以前のIEに対応しているサイト、とか?

    • by Anonymous Coward

      攻撃者がブラウザを乗っ取ろうとするとき。
      誰も使いもしない機能を実装するなってことだよ。TLSのHeartbeat拡張とか。

    • by Anonymous Coward

      拡大縮小してもジャギが出ない特性は今の時代こそ必要に

      ならないなぁ

  • by Anonymous Coward on 2014年04月28日 20時39分 (#2590399)

    とは言ってもWindowsはIEと一蓮托生だしなあ。explorer使ってると思ったら実はみたいな。IEアップデートだけでOS再起動がなぜあんなにあるのか

    • by Anonymous Coward

      いや、大体の場合ファイルビューアー・ブラウザとデスクトップ環境は一蓮托生じゃないの?
      ノーチラスとかコンクエラーとかもそうじゃん。

      • KDE使ってたのはちょっと前だから記憶が曖昧ですが,
        konquerorもdolphinも入れなくてもKDEは使えましたよ
        Windowsはexplorer.exeがウインドウマネージャを担当してたはずですけど,
        KDEはkwinと言う独立したWMがあって,しかも別にkwinを使わなくても他のWMを指定すればplasmaは使えます
        Gnomeは知らない
        Mac OSXは3時間ぐらいしか使ってませんけど,Finderがデスクトップと一蓮托生になっているようですね

        親コメント
    • by Anonymous Coward

      iOSやAndroidにしたってブラウザエンジンを
      各種アプリのHTMLやJSのコード解釈に使われてるから
      OSがブラウザエンジンと密接に関わってる状況は今後も変わらんでしょう

    • by Anonymous Coward

      何をどう言ってもサポート切れは縁の切れ目という事になりますね

      • by Anonymous Coward

        信者がどうしてもそう言いたい事だけは分かる。
        でもなあ、2kだってそんなにウィルス増えてないんだよ
        #むしろ減ってるかも

        • by Anonymous Coward

          ウィルスが増えてるか減ってるかなんて気休めにもならないでしょう
          致命傷は一撃くらえば死ぬんですよ?
          というか、ウィルスと脆弱性は違う問題。後者のほうがはるかに怖い

          • by Anonymous Coward

            OpenSSLクラスが来たら致命傷だと思うけど、あんなの前触れもなく来る大地震みたいなもんだし。
            クラッカーが未発見の脆弱性隠し持ってる説はどうなったんだろ?

            • by Anonymous Coward

              折角隠し持ってるものは、わざわざ大っぴらにしたら台無しになるわけで、こっそり使い続けるでしょう。

            • by Anonymous Coward

              こっそり持っている脆弱性は敵国を攻撃したり競合企業から機密情報を盗み出す場合に使います。

    • by Anonymous Coward

      いまこそIEradicatorの出番

  • by Anonymous Coward on 2014年04月28日 21時17分 (#2590441)

    IE5以前を掘り起こしてきて使えば…(無茶)

    • by Anonymous Coward on 2014年04月28日 22時45分 (#2590518)

      いちおうマジレスしておくと、別ツリーでも書いたとおり古いバージョンについては脆弱性の影響を受けるかどうかの調査もされないだけ。第一修正されないで放置されてる他の脆弱性が山ほどあるんだから論外もいいとこ。

      親コメント
      • by Jubilee (20038) on 2014年04月30日 2時38分 (#2591256)

        この間XP狩りを逃れるため余ってた2000のライセンスを使ってダウングレードしましたが、2000標準搭載のIE5では今どきのWebサイトはろくに表示できません。WindowsUpdateもできず、Lynxと大差ないくらい。もちろんオフラインユースなのでリスクはほぼないんですけどね。

        --
        Jubilee
        親コメント
      • by Anonymous Coward

        古いIEの脆弱性にまで対応しないといけないなんて悪質サイトの中の人も大変ですね

        中の人「だから古いIEが捨てられない!」

        • by Anonymous Coward

          今でもWin98を無防備にネットへつなぐと瞬時に感染するわけで、その程度の古さで安全になると思ったら本気で大間違い。

  • 「無料で受けられる」サポートは無いだけで,マイクロソフトは今でも対応はしてるんじゃないかな.
    確か,イギリスやオランダ? の政府機関をはじめ,結構な数の組織が Windows XP のサポートを今でも有料で受けているはず.
    契約者以外にはそうした情報が出てこないからそう見える,というだけじゃないかな.

  • by Anonymous Coward on 2014年04月29日 17時30分 (#2590987)

    XPを撲滅するのだ

    • by Anonymous Coward

      そんなことやれば、マイクロソフトの陰謀論を恥ずかしげもなく主張する輩が出てくるぞ

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...