MSがまたもやらかしやがった。
昨今IEの脆弱性発見は日常的になっていると言える中での特大の爆弾。
対象バージョンは6~11。 Wikipediaを見るとIE6の公開は2001年8月と言うことで、かれこれ13年近く眠っていたということか?
マイクロソフト セキュリティ アドバイザリ 2963983
https://technet.microsoft.com/ja-JP/library/security/2963983
ゼロデイ攻撃の対象となっているのは現在IE9以降らしい。より利用数が多いと思われる比較的新しいバージョンをターゲットにしている模様。
問題となっているのはVML(Vector Markup Language)コンポーネントとそのファイル実体であるVGX.dll。MSでは回避策として数パターンの手順を示しているが、MS以外のセキュリティ機関はこぞって「別のブラウザを使用する」ことを推奨している。(米国土安全保障省までもが!)
MSの回避策はどれもソフト開発初心者以上の経験が推奨される手段っぽい。レジストリいじるとか特定バージョンのWindows対応とか。特にレジストリ操作は一般ユーザレベルでは手順ミスで最悪OSが起動しなくなる。そもそも上記のページを一般ユーザが理解できるとでも思っているのか?レジストリいじりはコマンド1~2行で済む話。管理者権限でバッチ(相当)を実行するだけの回避策提供プログラムすら即日出せないのか。
そんな中、回避策を自動で適用してくれるソフトをいち早く個人が公開した。個人と企業のフットワークの軽さを比較しても意味は無いがMSの対応の悪さがより印象強くなった。
修正パッチの対応は、現時点では月例パッチの公開日である5/14を目標として、より早く公開できるかを5月初旬に発表する、だそうだ。呑気だね。
先日WindowsXPのサポートが切れて1ヶ月もせずにこんな爆弾が発表されると、いろいろ勘繰りたくもなる。というかOSの脆弱性じゃなくてブラウザの脆弱性なんだからXPだのWin7だのWin8だのは関係なくパッチ適用できるよね?パッチ実行がOSバージョンで弾かれるとかありえないよね?パッチのテスト段階でXPはサポート外だから「テストしない→提供できない」とか言い訳するつもりかな?そんな言い訳出てきたらいよいよMS(の首脳陣)はアタマがおかしいと言える。そういえば上記のページにはXP云々は一言も書かれてないな。
…ブラウザ独禁法裁判?あ、IEはOSの一部なんだっけ?
すみません。すでにアタマおかしかったですね。シェアに胡坐をかいている企業さん流石です。
2014/05/02追記:
さすがに月例パッチ日を待たずに緊急パッチが公開された模様。
詳細情報ページにはXPの記述もあるようで、さすがに変な疑念は払拭したいらしい。
にしても、いたる所で「IE使うな!乗り換えろ!」って大々的に言われたから焦ったんだろうな。
0 件のコメント :
コメントを投稿