2009.11.22.日曜日 - UnderForge of Lack
IE6、
7と
Operaと
KDEで0-day(脆弱性の対策がなく危険な状態)になっているそうです。
IEはver.8に移行できる環境の方は移行してしまった方がいいんじゃないかと。
Zero-Day Internet Explorer Exploit Published | Symantec Connect
Opera Floating Point Number Processing Memory Corruption - Secunia.com→
対策済み
KDE kdelibs Floating Point Number Processing Memory Corruption - Secunia.com
ところで
「1日20分!在宅ワークで毎月46万円を稼ぐ方法」
なんてキーワードでコメントスパムを書きまくってる会社のサイトがGumblarに陥落していました(苦笑)
そして
稼ぐ方法
なんてのに釣られるカモさんがGumblarのカモになるのすね。
チーンΩ\ζ゜)
マイクロソフト セキュリティ アドバイザリ(977981): Internet Explorer の脆弱性により、リモートでコードが実行される
- Internet Explorer 8 は影響を受けません。
- Windows Vista 上の Internet Explorer 7 の 保護モードは、この脆弱性の影響を制限します。
- 既定で、Windows Server 2003 および Windows Server 2008 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行します。モードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」に該当します。
- 攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。コンピューターでユーザー権限が低い設定のアカウントを持つ場合は、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
- 既定で、すべてのサポートされているバージョンの Microsoft Outlook、Microsoft Outlook Express および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りの際に、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃の緩和に役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃シナリオで悪用した脆弱性の影響を受ける可能性があります。
IE 6と7に未修正の脆弱性、深刻な影響の恐れ - ITmedia News
Microsoftがこの問題を修正するまでの間、ユーザーはウイルス対策ソフトの定義ファイルが最新になっていることを確認し、
JavaScriptを無効にして、信頼できるWebサイトのみを閲覧するなどの対策を講じた方がいいとSymantecは勧告している。
そんなことするくらいなら、IE8かFirefoxを使うべき。
JavaScriptを無効に
するかの記述ミスだと思いたいw
マイクロソフト、IE 6とIE 7にゼロデイ脆弱性の存在を確認 - Computerworld.jp
現在のエクスプロイト・コードはJavaScriptを必要とするため、SymantecはIE 6とIE 7のJavaScriptを無効にするように呼びかけている。
セコメントをする