Internet Explorerの脆弱性に関するアドバイザリ & SQL インジェクション


小野寺です。


昨日、Internet Explorerに関するセキュリティ アドバイザリ 961051を公開しました。
Webサイトを見る事で、脆弱性が悪用される可能性があり、現在サポートされている Internet Explorerが影響を受けます。
しかしながら、Windows Vista のInternet Explorer 7 や Internet Explorer 8 (Beta) は、保護モードにより脆弱性が悪用された場合でも、システムへ侵入される可能性を抑える事ができます。
また、Windows XP および Windows Vista については、データ実行防止 (DEP) が機能として有りますが、互換性の為に既定では無効となっています。Internet Explorer 8 (Beta) を導入している環境では、既定で有効です。


現在、更新プログラムの提供を含めて検討・作業を進めており、新たな対策等は、Webサイトおよび、セキュリティ警告サービスでお伝えしていきます。
現時点で、リスクを回避する方法としては、アドバイザリ記載の幾つかの回避策の内で、影響の少ないものを選択して適用する事を推奨します。 回避策を取れない場合や、個人の利用者の方は、最低限のセキュリティ対策は実施していただきたいと考えています。

直接的に関連するわけではありませんが、Webサイトを悪用した攻撃では、SQL インジェクションも並行して行われる事が多く、個々のWebサイトが、本脆弱性を悪用するプラットフォームにならない様に、改めてSQL インジェクションへの対応をお願いしたいところです。SQL インジェクション自体は、Webサイトやそのバックエンド データベースの情報を抜き取る手段にも使われており、今回の件に関係なくWebサイトにとっては必要な対策となっています。


Webサイトが、SQL インジェクションで攻撃を受け、結果としてそのサイトの利用者に被害が及ばないようにするための情報として以下を公開しています。


SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx


参考資料



 

Comments (4)
  1. Gan より:

    回避策の内、簡単に出来るものは、IEのセキュリティ設定でインターネットゾーンを高にするぐらい。12日に書 いたように、「DEPを有効にする」なんてほとんどのPCは対象外でしょう。

    「OLEDB32.DLL を無効にする」は後から追加されたものだと思いますが、これに関する時詳細情報はまだ英語のみのようです。早く日本語にしてほしいと思います。

  2. JSECTEAM より:

    > GAN さん、

    「OLEDB32.DLL を無効にする」 の回避策は、12/13日付(英語版と同日)で日本語情報も公開しています。

    セキュリティ アドバイザリに記載の以下の回避策を確認してみてください。

     – 整合性レベルを使用して Internet Explorerから OLEDB32.DLL を使用する事を制限する

     – OLEDB32.dllのRow Position機能を無効にする

     – OLEDB32.DLL の登録を解除する

     – ACL を使用して OLEDB32.DLL を無効にする

  3. Gan より:

    > セキュリティ アドバイザリに記載の以下の回避策を確認してみてください。

    あっ、すいませんでした。

    「推奨するアクション」が詳細情報の最後かと勘違いしていました。

    有難う御座います。じっくり検討します。

  4. Anonymous より:

    小野寺です。 先日から、 セキュリティ アドバイザリ 961051 や、 ブログ でもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。 これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。

Comments are closed.

Skip to main content