4件の欠陥が修正された模様。![[External]](/~yano/parts/extlink.png)
mod_sslも対応した2.8.17-1.3.31が出ていたのでアップデートしました。
QuickTimeにも任意のコードが実行される欠陥があり、改修版の6.5.1がリリースされている。Macな人もアップデートしよう。
 |
| 事件は会議室で起ってるんじゃない! で知られる宮崎市青島 5/12 |
[一語一絵/IT系]
Apache 1.3.31 ready !! / 2004-05-13 (木)
[一語一絵/IT系]
5月のWindows Update / 2004-05-13 (木)
今月の定例リリースで修正・公表された問題は1件だけだ。残念ながらInternet ExplorerのURL詐称問題は今月も解決されなかった。早急な改修を期待したい。
さて改修された問題はWindows XPとWindows Server 2003で実装された「ヘルプとサポートセンター」(通称HSC)の欠陥だ。
任意のプログラムを実行させられる恐れがあるという危険な問題だが、また実行権限はログイン中のユーザー権限となり、管理者権限を強奪されるわけでは無いというのは良い知らせだが、普段から管理者権限で使用している人は要注意。
何はともあれ、速やかにWindows Updateなどで修正プログラムを適用しよう。
細工が施されたリンクをクリックさせるだけ(WebページやHTMLメールを閲覧させるだけ)では,任意のプログラムを実行させることはできない。リンクをクリックした際に表示されるダイアログに対して,ユーザーが「今すぐアップグレードする」などをクリックした場合のみ,任意のプログラムが実行される。任意のプログラムを実行させられる危険なセキュリティ・ホールではあるが,攻撃を成功させるにはユーザーのアクションを必要とするため,深刻度は最悪の「緊急」ではなく,「重要」に設定されている。という事で深刻度が下げられているそうだが、騙しのテクニックが非常に高度化され洗練されている昨今、果たしてユーザー操作の有無で脆弱性の深刻度を下げる必要があるだろうか?というわけで個人的には【緊急】とする。
【参照】
●ITmedia http://www.itmedia.co.jp/
┣MSの定例パッチ、ヘルプとサポートセンターの脆弱性に対応 2004年5月12日
┣月例パッチの裏で取り残されたIE/Outlookの問題 2004年5月12日
┗連載:輸入音楽CDは買えなくなるのか? 2004年5月12日
●日経IT Pro http://itpro.nikkeibp.co.jp/
┗Windows XP/Server 2003に「重要」のセキュリティ・ホール,任意のプログラムを実行させられる恐れあり 2004年5月12日
●TechNetセキュリティセンター http://www.microsoft.com/japan/technet/security/
┗MS04-015:「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される (840374) 【緊急】
