狙われるInternet Explorer 49
ストーリー by hylom
IE6問題とはまた別 部門より
IE6問題とはまた別 部門より
あるAnonymous Coward 曰く、
Bromium Labsの分析によると、Internet Explorerの脆弱性やそれをターゲットにした攻撃が急増しているという(Bromium Labsの発表PDF、HELP NET SECURITY、Slashdot)。
Bromium Labsは2014年1~6月まで公開された脆弱性およびexploitについて調査を行った。その結果、Microsoft Internet Explorerの脆弱性は前年の2013年と比べると今年は100%以上の増加率であるようだ。JavaやFlashの脆弱性よりも増えているという。また調査結果では、Microsoftのパッチのリリース間隔も短くなってきていると指摘している。
Bromium Labsの担当者は、攻撃者にとってWebブラウザは常に格好の攻撃対象であったが、より頻繁に攻撃されるようになったことを認識するべきだろうとコメントしている。
せめてJavaの脆弱性が減ったって記事にすればいいのに (スコア:4, 参考になる)
まーたこういうくだらない記事にする。
リンク元のPDFを読むと、以下の通り。
・2013年の1年間では、脆弱性の数はGoogle Chromeがもっとも多かった。ほぼ並んでJava、次にFirefoxが多く、IEはその次。
・2014年の6ヶ月間の傾向では、IEが多かった。Firefox、Chrome、Javaは同じくらいで、IEの半分弱。
・Javaの脆弱性が減少した。特に、公開された脆弱性が0件だった。
調査結果では、Microsoftのパッチのリリース間隔も短くなってきていると指摘している。
誤訳。「製品自体のリリース間隔と、リリースから最初のクリティカルなセキュリティパッチが提供されるまでの期間」が、IE11は過去のバージョンと比べて短くなったと書いてある。
最初のパッチまでの期間は、IE10も過去バージョンより短くなっている。原因が、Microsoftの対応の変化なのか、製品の品質の問題なのかはわからない。
特定の製品について性急にどうのこうのいえる結果ではない。ましてや「IEが(特別に)狙われている」なんてどこにも書いていない。
どうしても「狙われている」というタイトルにしたいのであれば、Adobe Flashに対する新たな攻撃方法が発見された件が上半期のトピックとして挙げられてるんだから、そっちを書くべきだろう。
Re:せめてJavaの脆弱性が減ったって記事にすればいいのに (スコア:4, 興味深い)
> Internet Explorerの脆弱性やそれをターゲットにした攻撃が急増している
とタレコミ文には書かれているのだが、Exploit数は11から3へ激減していて、「急増している」どころか激減していると言っても過言ではない感じ。
このストーリーからはMSへの悪いしか感じられないな。
Re: (スコア:0)
だってhylom だから
MSを攻撃することが命題ですから仕方がない
Re: (スコア:0)
脆弱性の数と攻撃回数は必ずしも比例しないんじゃないかな。
Re:せめてJavaの脆弱性が減ったって記事にすればいいのに (スコア:1)
脆弱整数と攻撃数は比例するとはコメントでは言ってないが、このストーリーのタレコミ人はレポートを勝手に歪曲して、脆弱性のために出された修正の数が半期で既に前年を超えたという話を、攻撃が急増していると書いちゃってるんだよね。
そして実際の数字でもレポートではexploit数(攻撃実証プログラムや攻撃プログラム)は11から3に減ってるわけで、むしろ脆弱整数が倍増する勢いなのに、攻撃数は激減しているわけ。
このことから導かれる答えは、IEは狙われにくくなってきたということしかない。
正確に言うなら、IEはいまだに一番狙われてはいるが、急激に狙われにくくなってきているということ。
これはWindowsにEMETというセキュリティツールが使われるようになって、Windows上のソフトウェアの脆弱性を突いた攻撃がやりにくくなってきたためと思う。
それよりも、ユーザーを騙して悪意のプログラムを実行させる方が簡単にできるから、わざわざexploitを使って高度な攻撃を準備しなくていいんだ。
Re: (スコア:0)
スラッシュドットにおけるIE(やMicrosoft製品)のネガキャンの件数は増えてる気がするなぁ
きっと攻撃手段が脆弱性狙いからソーシャル的な手法に移行してるんだ
#というデマ
Re: (スコア:0)
IE(もといMS)を「狙っている」人間がいますよと身をもって証明したかったのでしょう
「狙う」目的は全く違いますけどね
そもそも、ネットにプライバシーなんてないという (スコア:0)
のだから
Windowsに何の危険性もないだろ。いったい何がどう危険なんだよ。
Re: (スコア:0)
ライセンスを所持してるにも関わらず 次から [impress.co.jp] 次へと [impress.co.jp] 追加 [impress.co.jp]
Re: (スコア:0)
そんな困るものを、プライバシーのないオープンな場でやるほうが間違い。
Re:Microsoftが安全だったことは一度もない (スコア:2)
Linuxソフトウェアって何?
Re: (スコア:0)
Windowsソフト、とは言うような気も
Re: (スコア:0)
その結果、Linuxのシェアが高まり、クラックの旨味が増してガンガン狙われると。
Re: (スコア:0)
しかもブラックボックスに近いIEより狙いやすいよな。ソース公開されてんだから。
Re: (スコア:0)
それは逆
Re: (スコア:0)
そうでもない。
「ソース公開されてるので、常に誰かの目に晒され、問題が見つかれば修正が行われる」
というのは神話。実際どれだけソースレベルでチェックされてるやら。
opensslの重大な脆弱性もずっと見つからずにいた。悪意のある人間が先に見つけてたらすでに多くの情報が盗まれてただろう。(実際盗まれてたかも。誰にも知り得ない)
まぁこれはあまりにも有名な例なので、例外的なもので、他にそういう例は少ないのかもしれないが、コミュニティベースのオープンソースソフトウェアの信頼性を揺るがしたのは事実だ。
Re:Microsoftが安全だったことは一度もない (スコア:1)
> ブラックボックスだと、誰かに継続的に脆弱性を利用され続けてても気づけない。
脆弱性を利用されたら気づけるよねえ。
利用されない脆弱性は気づくのはかなり困難。
そして、クローズドソースの場合、脆弱性があっても見つけにくいから利用されにくい。
わかる?この論理。
> パケットとって、おかしな通信まで捕まえてもコードから追えない
> 問い合わせても回答来ない。
問い合わせたことある?
まさか、ゼロデイ攻撃を発見してMSに問い合わせを投げたこともないのに、「回答来ない」って言ったりする恥知らずじゃないよね?
> いまだに、IE6の脆弱性が次から次へと報告されてる時点で10年以上放置された脆弱性だったってことだよね
それはね、クローズドソースなおかげで、悪意の攻撃者を含む、MSの外の人にはずっと気づかれなかった脆弱性だからなんだ。
気づかれなかったから利用もされてこなかったわけ。
Re: (スコア:0)
10年もの時間を乗り切ったんですから、そんな昔のことをほじくり返さないでやってください。
あなたも、10年前の恥ずかしい思い出を今更ほじくり返されたら嫌でしょう?
Re: (スコア:0)
OpenSSLの脆弱性は16年前(?)から見つからなかったってさんざん叩いてたのに
いくらなんでもダブルスタンダードなんじゃ・・・
コンシューマー向けはサポート切れましたが
XPだって、現役でサポートされている製品ラインもありますよっと
Re: (スコア:0)
Linuxとは限らないけど、Windows以外のサーバではバックドア仕掛けられた状態のサーバが無数に放置されてるから。
Windowsはサーバ間も含めてアンチウィルスで定期スキャンする文化が出来上がってるけど、Linuxで実施しているサーバは極めて少ないから気づかないんだね。
踏み台にされた攻撃Linuxサーバの管理者に「不正侵入してるから直せ」とメールを送ってもなしのつぶて。
「Linuxなら安全」とかいうバカの一つ覚えのセリフがあるけれど、それをバカ正直に信じてしまった管理者がいっぱいいるんだね。
Re: (スコア:0)
うちのWindowsパソコンでも動きますか?
動くようでしたらInternet Explorerをやめて乗り換えたいと思います:P
Re: (スコア:0)
動きます。
正常に。
それはあなたの望む結果ではないかもしれませんが。
Re:Microsoftが安全だったことは一度もない (スコア:1)
期待通りに動かないのは、「正常に動く」とは言わないね。
Re: (スコア:0)
では採用したいと思いますのでLinuxソフトウェアのある場所を教えてください:P
Re:Microsoftが安全だったことは一度もない (スコア:3, 興味深い)
2014年の途中経過の話な。
2013年の場合、Firefox/Google ChromeのほうはIEの脆弱性の倍以上あったんだぜ。
知らなかっただろ?
スラドじゃそういう都合の悪いデータは紹介しないからな。
ところで、このBromiumというところのレポートを見ると、Exploit数ではIEは2013年の11件から2014年の3件に激減しているんだけど、Adobe Flash(3→2件), Adobe Reader(4→1件), MS-Office(1→1件)向けのExploitより多いよっていうデータしか載ってないんだが。
IEへの攻撃が急増しているようには見えなかった。
このタレコミは、なんか怪しくない?
Re: (スコア:0)
脆弱性のないブラウザをご存知ですか。
参考までに教えていただきたいのですが。
Re: (スコア:0)
telnet slashdot.jp 80
GET / HTTP/1.0
で表示させれば安全?
Re: (スコア:0)
それは「ブラウザに含まれる機能のうちの通信機能」を再現してるに過ぎないよ
あと結局は取得したデータを何らかの方法で画面に出す必要があって、そこに脆弱性があれば突かれる可能性はあるよね
Re: (スコア:0)
HTML見るだけで脳内レンダリングできるんだよ、きっと。
Re:Microsoftが安全だったことは一度もない (スコア:1)
なるほど。 つまり #2647087 さんは #2647069 さんの 脳に脆弱性があると主張している。
そう #2647132 さんは、判断されたのですね。 大変興味深いです。
# 暇な人は、このコメントに、「フレームのもと」つけといてください。
Re: (スコア:0)
精神的ブラクラに弱いってのはあると思う。
Re: (スコア:0)
全角スペースはセパレータとして機能しないんじゃないかな
# 昔それに殺されたことがあるのでAC
Re: (スコア:0)
telnetに脆弱性がないという保証は?
Re:月刊制 (スコア:3)
近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 [technet.com]
Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。
マイクロソフトのセキュリティ パッチって、多いの? [technet.com]
セキュリティ更新プログラムの作成が終わると、品質確保のため、複数レベルに亘り厳しく広範なテストを行います。機能や依存性の確認、何千ものサードパーティ ソフトウェアとの互換性検証などを行い、ランダムに抽出した社員の PC に適用して実務利用で問題がないかの確認や、セキュリティ更新プログラム検証プログラム (SUVP) [microsoft.com] では契約顧客やパートナー顧客の環境で、自社アプリとの互換性検証など、マイクロソフトだけでは行えない幅広い検証をお願いしています。
Re:月刊制 (スコア:1)
おっと、3ヶ月に1回のOracleの悪口はそこまでた
Re: (スコア:0)
企業向けの仕事しないでいい人は、楽々ですね。
なぜ今のペースになったか、なんて日本のセキュリティチームのブログにありますよ。
Re: (スコア:0)
なぜか、今でもOSごとリスタートしている気がするんだが、なんでだろう。
Re:月刊制 (スコア:2)
Windows ベースのコンピューターにセキュリティ更新プログラムをインストールした後にコンピューターの再起動を促すメッセージが表示される理由 [microsoft.com]
複数の Windows 更新プログラムまたは修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法 [microsoft.com]
Windows では可能でも行わないことがある [microsoft.com]
Re: (スコア:0)
昔を知らない子が出てきたんですねえ。
昔は不定期にWindowsUpdateを実施していたのですよ。
そうしたらですね、アホなユーザーたちは「WindowsUpdateするのは面倒くさい」ってアップデートしないやつが増えちゃったんだ。
そのために一か月に一度、決めた日にリリースするようにしたら、定期的な作業として浸透してアップデートの適用率が向上したんだね。
また、4月頃に発生したゼロデイ攻撃のときでわかるように、重要で広い範囲に影響がでているゼロデイが行われてる時は定期アップデート以外にも緊急的に出すことはあるんだよ。
君が昔を知らないだけなのか、無知なだけなのかは知らないけれど。
Re: (スコア:0)
注:
昔は不定期だったけどやめたという部分は事実。
やめたからUpdateが浸透したというのはMS信者の願望・妄想。
Re: (スコア:0)
> やめたからUpdateが浸透したというのはMS信者の願望・妄想。
はぁ…。
だから昔を知らない子に理解させるのは面倒なんだよね。
不定期実行でこまめにパッチを配布していたが、ご存知の通り、Windowsのアップデートは再起動を伴うものが多いよね。
仕事中、なんども再起動を求められたり、勝手に再起動されちゃうので、自動アップデートを嫌がる人が続出。
自動アップデートを無効化して、定期的に自分で実施すればいいのだけど、無効にしてそのまま忘れちゃう人が多かった。
これが原因でWindows端末が狙われるようになった。
そこでMSは月に1度のア
Re: (スコア:0)
しょうもない文章書いてないで、適用率がいくつからいくつに上がったか数字を示せばいいんじゃないんですかねぇ
Re: (スコア:0)
Chromeは許可していれば、Windowsのサービスとして自動更新が掛かるのでChromeを起動しなくても更新されるからWindowsUpdate並に更新されてるとも言えますかね。
自動更新出来なくても、メニューの部分の色が変化するので視覚的に気づくことが出来ますし。 [google.com]
Firefoxは以前より機能拡張の互換性問題は改善されましたが、過去の実績から互換性を恐れて自動更新を切っている人も居そうです。
後は更新が配信されても、Firefoxを再起動するまで適用されないという致命的欠陥がありますから。
新バージョンが配信されても