1:
ゆでたてのたまご ★2015/06/23(火) 14:38:42.49 ID:???*.net
「IE」にパッチ未公開の脆弱性--エクスプロイトをHP研究チームが公開
【CNET Japan】 2015/06/23 11:08
Hewlett-Packard(HP)の研究チームが、「Internet Explorer(IE)」の脆弱性を攻撃できるエクスプロイトコードを公開した。Microsoftがパッチ公開を拒否したことを受けての措置だ。
HPのシニアセキュリティコンテンツデベロッパーDustin Childs氏はブログ投稿において、コードの公開は「あてつけや悪意」によるものではなく、HPの情報開示ポリシーにのっとった措置だと説明している。
「われわれとのやりとりの中で、Microsoftは今回の研究結果に対策を講じる予定がないことを認めたため、この情報を公表する必要性を感じた」とChilds氏は述べている。Microsoftは2015年、この脆弱性を発見した同チームに12万5000ドルの報奨金を授与した(報奨金はのちに寄付された)にもかかわらず、脆弱性の修正は行わないようだ。
攻撃者はこの脆弱性を利用することで、人気ブラウザIEに数多く備わる防衛線の1つ、アドレス空間配置のランダム化(ASLR)を回避することができる。脆弱性の影響を受けるのは32ビットシステムだけだが、HPのチームは、最近では64ビットシステムが多いといっても、依然として多数のシステムが影響を受けると
述べている。
かつてMicrosoftに在籍していたChilds氏は、Microsoftの主張は「技術的には正しい」としながらも、パッチを提供しない同社の決定を批判している。
パッチが提供されないこと受けて、HPのチームは「Windows7」と「Windows8.1」向けの概念実証(PoC)コードを公開した。
「Microsoftの意向に同意せず、PoCの情報をコミュニティーに公開するのは、影響を受けるユーザーが、自身のインストールしている製品に適切と思われる措置を講じるためには、可能な限り十分な情報を開示されるべきだと考えるからだ」(Childs氏)
研究チームは、システムを効果的に保護するためには「脅威を十分に理解」する必要があるとして、コード公開が正当な措置であることを主張している。
引用元:http://ai.2ch.sc/test/read.cgi/newsplus/1435037922/
3: 名無しさん@1周年 2015/06/23(火) 14:40:18.22 ID:zW/5ZsDd0.net
32bitは自然消滅するので作らない
17: 名無しさん@1周年 2015/06/23(火) 14:53:21.57 ID:Din44wOQ0.net
HPがPC用のHP-UXをリリースすればいいのに。
>>3
だろうね。
Win8発売で、メーカー製PCは64ビットがデフォの様な状況になってるし。
10はそれがより加速すると思うんだな。
俺はまだ暫く7Pro64使うけど、Macに戻ろうかと考え始めたところ。
49: 名無しさん@1周年 2015/06/24(水) 11:34:28.01 ID:+EcNBNuT0.net
>>17
winタブレットや安いノートPCは32bit OSが売れ筋だぞ
4: 名無しさん@1周年 2015/06/23(火) 14:40:27.55 ID:GQeXIyC80.net
そうなのか?
18: 名無しさん@1周年 2015/06/23(火) 14:53:23.34 ID:YCOaaksI0.net
アプリが扱えるデータが4GB程度しかないからな
1時間のハイビジョン映画とか当たり前の時代にサ
64bitOSなら物理的には4GBの数億倍まで扱える
おサイフ的にはまだまだ限界はやってきそうにないので問題ないが
5: 名無しさん@1周年 2015/06/23(火) 14:40:57.87 ID:vCkZplkf0.net
永遠に脆弱性無くならないのか、他のブラウザと比べて圧倒的に多いだろ
30: 名無しさん@1周年 2015/06/23(火) 16:38:32.82 ID:HDQmyFMP0.net
利用者数が段違いに多いせいでIEは脆弱に見られがちだが、実際IE自体はかなり堅牢
Flashプラグイン関連除くとかなり少ない
尚、細やかなサポートとイメージ戦略で気付き辛いがFirefoxは毎週の様に脆弱性が発見されてたりするバグ最多ブラウザだったりする
38: 名無しさん@1周年 2015/06/23(火) 17:27:37.75 ID:YSoPjXKg0.net
>>30
そのJavaとflashobjectがハッキングの最多だろ
7: 名無しさん@1周年 2015/06/23(火) 14:43:08.95 ID:2yS4N5oc0.net
とりあえず俺には関係ないな
8: 名無しさん@1周年 2015/06/23(火) 14:43:28.44 ID:I9zF5+oe0.net
全然使わないからどうでもいいけど
10: 名無しさん@1周年 2015/06/23(火) 14:46:05.06 ID:PUsEc6+Q0.net
俺には関係ねえ
12: 名無しさん@1周年 2015/06/23(火) 14:47:56.17 ID:e8sEth3v0.net
修正できるの?簡単には出来ないからなのか?
13: 名無しさん@1周年 2015/06/23(火) 14:49:35.80 ID:Rj+GxitP0.net
結果的にはIEユーザーに対する嫌がらせ
14: 名無しさん@1周年 2015/06/23(火) 14:50:17.87 ID:vn305J2E0.net
俺Chromeだから平気
16: 名無しさん@1周年 2015/06/23(火) 14:50:32.39 ID:e8sEth3v0.net
素人が理解できるように具体的にどうなるのか
教えてよ
23: 名無しさん@1周年 2015/06/23(火) 15:24:29.14 ID:hPxL/s9S0.net
必死のパッチやな
24: 名無しさん@1周年 2015/06/23(火) 15:45:30.99 ID:OXtIdrcM0.net
10年以上I.Eはつかってない
OSから独立してれば削除したいくらいだ
27: 名無しさん@1周年 2015/06/23(火) 15:56:40.11 ID:uPLSQCGM0.net
XPでIE使ってます(´・ω・`)
29: 名無しさん@1周年 2015/06/23(火) 16:28:54.73 ID:7Orvs6Wz0.net
MS「いちいちパッチ連発するコストなんてあるか」
32: 名無しさん@1周年 2015/06/23(火) 16:52:39.63 ID:XwCnf7oq0.net
スパルタンつこうてや
33: 名無しさん@1周年 2015/06/23(火) 16:58:27.30 ID:3HF3yFRh0.net
IEはとかく狙われやすいからね。企業ももっとも使ってるし。
だからIEを標的としたコードを仕込むサイトが最多という事情もあって
IEがもっとも危険なブラウザであるという事実は今までもこれからも変わらない。
CHROMEやFIREFOXはIEと較べて二番手三番手的なポジションだからこそセキュアと言われている部分もある。
Fireoxのバグ報告が多いのは、利用者の意識の違いが大きいだろうね。
Firefox自体強固なセキュリティを持ったブラウザだけども、
オープンソースという思考をもった人々が
もっとFirefoxの完成度を上げようと熱意をかけてるがゆえに
見た目のバグ報告が多い。
でも、それだけ熱心にバグ報告と、修正についても
CHROMEよりはるかに大勢の人間が関わってやってる。
CHROMEはその点、ソースコードが秘密のブラックボックスだからね。
そういう熱意を持つ人が少ない=バグを見つけたり報告する人が少ないので脆弱性が見つかりにくく、
修正もされにくいという側面もある。
35: 名無しさん@1周年 2015/06/23(火) 17:03:09.58 ID:rP6vKvMe0.net
>>33
そうか、firefox がバクだらけなのは多くのド素人が作っているからか。
使っててイライラする。
40: 名無しさん@1周年 2015/06/23(火) 18:26:17.50 ID:CpI5bRZG0.net
>>33,35
関係ないけど、プロが作っているWindowsとofficeのバグの多さにも呆れる。
firefoxとか目じゃないほど安定度低い。
42: 名無しさん@1周年 2015/06/23(火) 19:20:36.56 ID:5mzkI2Re0.net
IEとコンポーネントをアンインストール出きるようにすりゃ解決なのにな。
43: 名無しさん@1周年 2015/06/23(火) 20:24:01.91 ID:g+3phKAP0.net
もうソースコードの公開を義務付けるしかないね
45: 名無しさん@1周年 2015/06/23(火) 22:05:28.53 ID:9ppMPIFJ0.net
このホームページはIE4.0で動作確認しています。
48: 名無しさん@1周年 2015/06/24(水) 08:01:40.20 ID:qXpVYmqT0.net
32でも64でもどちらでもいいけどな
デスクトップ用途ならどうでもいい
サーバーなら64一択
ロボの戦闘は空中戦より地上戦が好きって言うが
お父さんにペンギンのパソコン買ってもらったんだけど、LINEってどうやるの?
社会人1日目の俺が上司に言われたことwww