2014年5月9日

Internet Explorer 6 以上に影響する「騒動」を経て学ぶ、その対策

Internet Explorer 6 以上に影響する「脆弱性」という不具合で「IE利用禁止!」となった会社もあったようですが、OSに標準で入っているWebブラウザってこともあって、IEの利用が前提となっているWebサービスもあったりして、IEの脆弱性に対応する修正パッチが出るまではいろいろと混乱があったんじゃないでしょうか。

今回はたまたまWindows XP 用の修正パッチが出ましたが、「次」もそうなるとは思えず、やはりWindowsOSを使っていくためにはちゃんと情報を得ておかねばなぁと思ったところ。

VMware Fusionで動かしている Windows XP でもこの通り。


そもそも脆弱性とは何なのか、というのは、ここが参考になるかと思います。

特集  インターネット・セキュリティ・ナレッジ
「脆弱性」っていったい何だ? そのリスクを理解し、万事に備える  
http://www.is702.jp/special/1293/partner/80_m/


で、今回の脆弱性関係がこちら。

INTERNET Watch
米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始
~「例外的に」XPユーザーにも更新プログラムを提供
http://internet.watch.impress.co.jp/docs/news/20140502_646872.html

INTERNET Watch
IE6~11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認
http://internet.watch.impress.co.jp/docs/news/20140428_646441.html

Microsoft TechNet Blogs
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

回避策: Vector Markup Language (VML) を無効化する」と言われても、そこまで詳しくないって人にとっては大きな負担だろうし、パッチが出るまでのつなぎとして、IE以外の選択肢、Firefox や Google Chrome をとりあえず入れておくことが大事なんじゃないかと思った次第。


ちなみにこの「VMLを無効化」しちゃった人はパッチ適用前に解除する必要があるんだそうです。
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx
インストールする際の注意
セキュリティ アドバイザリ (2963983) の回避策「VGX.DLL に対するアクセス制御リスト」を行ったコンピューターは、セキュリティ更新プログラムをインストールする前に解除する必要があります。詳細は、セキュリティ情報 MS14-021の [更新プログラムに関する FAQ] を参照して下さい。なお、他の回避策 (回避策: Vector Markup Language (VML) を無効化するを含む) を行っているコンピューターでは、セキュリティ更新プログラムのインストール前に解除する必要はありません。ただし、回避策により制限された機能等を元に戻すために、インストール後に適宜解除設定を実施してください。

閑話休題。Windows だと標準でインストールされているIEだけという状態は、Webブラウズをするだけなのに、こういう場合に対処できなくなることになりかねません。
IEでFirefoxをダウンロードしに行っても大丈夫?
IEでGoogle Chromeのダウンロードページにアクセスしても大丈夫?となるわけで。
(一次ソースへ直接アクセスしたダウンロードだけとは限られず、検索サイト→配布サイト(たいていは一次ソースだとは思うけど)、ということもあるかと。
実際は大丈夫なんだろうけど、何かのアプリケーションのインストール時に検索エンジンの書き換えが行われているPCを何台も見ている私としては、本当に大丈夫とは言い切れないわけですよ。
(利用者の意図しない状態でBaidu IMEがインストールされてたなんてことあったし、ブラウザ用のツールバーを「勝手に」インストールされてたなんてことあったりしません?)

これは Mac (MacOS,OS X) でも同じで、標準の Safar iだけという運用よりも、Firefox や Google Chrome を入れておけば同様の事態にはならないはず。(あ、Operaでもいいんですよ、たとえばの話です)

特に、Google Chrome の場合は Adobe Flash Player も内蔵しちゃっているんでおすすめです。

http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

Adobe Flash Player は Google Chrome に直接統合されて、デフォルトで有効になっています。Adobe Flash Player の利用可能なアップデートは、Chrome のシステム アップデートに自動的に組み込まれます。
Flashの脆弱性対策も同時に取ることができるので、既存のブラウザはIEでもSafariでも良いんだけど、別の選択肢を平時に入れておくという対策が重要だなと思う次第。

これはスマートフォンやタブレットでも同様で、標準以外の選択肢を入れておくことが大事なんじゃないかと。
(Webブラウザのシェアは、以前は大半がIEという状態でしたが、スマートフォンやタブレットの普及に伴いシェアが低下してますから、今後はそっちも狙われるパターンも増えるかと)

0 件のコメント:

コメントを投稿