Internet Explorer を狙ったゼロデイ攻撃 まとめ(最終更新:2008-12-16)
まだ修正パッチが提供されていないこのセキュリティ・ホールに対し、主に中国からのゼロデイ攻撃が確認されています
しばらく Internet Explorer は自粛した方が良いでしょう(マイクロソフトによればIE7以降の「保護モード」によりこのセキュリティ・リスクは回避可能されるとのことだが、デフォルトでは「信頼済み」サイトは保護モードが有効にならないので、やはり使用しない方が良い)
- 日本語情報
- 英語情報
- Internet Explorer XML Processing Memory Corruption(英語)
- Blog | BeyondTrust(英語) 2008-12-12 追加
パッチが公開されるまで時間がかかるかもしれないので、IEはしばらく使わない方がよいでしょう(Secunia での危険度指定も最大です)
- 続報:最新のマイクロソフト・アドバイザリによるとIE7だけでなくIE6にもIE5〜IE8まで影響があるそうです 2008-12-12 追加
- 「Internet Explorer」のパッチ未対応の脆弱性、影響は全バージョンに - ZDNet Japan 2008-12-15 追加
IE全滅...
それでもIEを使いたい人がとるべき対策 2008-12-15 追加
- ログインしてください:日経 xTECH(クロステック)
- インターネット/ローカルイントラネットゾーンの設定を「高」に設定し、ActiveXコントロール/アクティブスクリプトを実行する前にダイアログを表示する
- インターネット/イントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するようにする/アクティブスクリプトを無効にする
- IE7のDEPを有効にする
- XMLアイランド機能を無効にする
- ACLを使用してOLEDB32.DLLを無効にする
- OLEDB32.dllのRow Position機能を無効にする
- OLEDB32.DLL の登録を解除する
- ACL を使用して OLEDB32.DLL を無効にする
- Windows Vista/Server 2008上のIE7でDEPを有効にする
- IE8ベータ2のデータバインディングサポートを無効にする
あり得ない...
続報
情報が溢れてきた
- http://www.computerworld.jp/topics/ms/129930.html 2008-12-15 追加
- JVNVU#493881: Microsoft Internet Explorer のデータバインディング処理における脆弱性 2008-12-16 追加
- http://www.computerworld.jp/topics/ms/130069.html 2008-12-16 追加