【IEの脆弱性】マイクロソフト セキュリティアドバイザリ の信頼性に疑問
Blogs - Japan IE Support Team Blog - Site Home - TechNet Blogs
Internet Explorer の脆弱性 (セキュリティ アドバイザリ 2963983) について
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
Microsoft が IEの脆弱性の回避策として、 VGX.DLL の解除を緩和策として公開していますが、幾つか疑問があるので記述します
1.IE10以降は 基本VGX.DLLを使わない
VML がサポートされなくなった (Windows)
Internet Explorer 10 では、VML は以下のドキュメント モードで動作しません
・相互運用可能な Quirks モード
・IE10 標準モード
代わりに、 Xpsgdiconverter.dll というのが使われています。
Internet Explorer 9 でスケーラブル ベクター グラフィックス (SVG) またはレベル 3 カスケード スタイル シート (CSS3) ファイルを印刷できない
というわけで、ほんとにVMLってゼロディの必須条件なの?って疑問
セキュリティアドバイザリにも、VMLを開くためにはSVGコンポーネントをつかうので、VGXが無効になっていてもほとんど影響を受けませんと書いてあります
| Internet Explorer 9 以降には同様のベクター グラフィックを表示する Web 標準テクノロジーである SVG が搭載されているため、無効にした場合の直接的な影響は少ないと考えられます。 |
2. FireEye 研究所のゼロディ詳細では VMLやVGXに一切触れていない。
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
Vector objects についての言及はあるものの Flash Player を利用したものだ。
Microsoft が Vector Objectの処理上の問題だと考えているだけで、実際はFlash Player 単独で IE9以降のセキュリティ 機能のバグを利用して ゼロディを引き起こしているとしたら?
VGX を無効にするだけでは、ただの緩和策にしかならないだろう。
ではどうすればいいか?
1. Flash Player を無効にする
・FlashPlayer のアンインストール
・セキュリティタブを「高」にする
2. セキュリティ機能の利用
・EMET4.1以降を利用する
・64bit 版の IEの保護機能を有効にする
3. 他のブラウザを使う
・Firefox
・Opera
・Chrome
など
※単に使わないのではなく、IE以外のブラウザを既定のブラウザに設定しないと、他のアプリケーションでURLを指定したときに悪意のあるサイトをIEで開いてしまう恐れがあるので注意。
手順としては簡単だが、VGX.DLLだけを無効にすれば大丈夫、とは安易に思わない方がいい気がするのだがいかがだろう?
Translate
http://blogs.cisco.com/security/ie-zero-day-and-vgx-dll/
>The attack involves a malicious Flash SWF file creating
>a vector object that is passed to the browser.
>Unregister VGX.dll. This library is required to use Vector
>Markup Language (VML), a now deprecated vector graphics
>format previously used in Microsoft Office applications.
Adobe Flash PlayerがVGX.dllのライブラリを使っているか、
ブラウザ経由でなくても、過去のMicrosoft OfficeがVGX.dllを
使ってるようだから、VGX.dllをUnregisterしとけって事じゃあ
ないっ須賀?(伝聞調)
ブラウザ経由に関していえば、Adobe Flash Playerが実行の
トリガーになってるんドス.
JavaScript及びFlashでそれぞれ障壁バイパスするテクニックの
0dayは伝統芸能みたいなものだから、またかって感じっすね.
前後して発覚した別個の0dayも含めて言や、IE禁止令をテレビで
大々的に流すより、JavaScript禁止令とFlash禁止令を出した方が
よほど世のため人のためデショ.
http://www.zdnet.com/microsoft-clarifies-workarounds-for-ie-zero-day-7000028916/
>The vulnerability, disclosed over the weekend, affects all
>versions of Internet Explorer, but the attacks observed in
>the wild affect only versions 9, 10 and 11. The vulnerability
>uses Adobe Flash as a vector.
一部ではAdobe Flash Playerなしでも脆弱性があるという話も
流れてるようで,
まだ全容は明らかになっていないと思うっすよ,
伏せられているのにも理由があってのことで醤油.
http://blogs.cisco.com/security/ie-zero-day-and-vgx-dll/
>The attack involves a malicious Flash SWF file creating
>a vector object that is passed to the browser.
>Unregister VGX.dll. This library is required to use Vector
>Markup Language (VML), a now deprecated vector graphics
>format previously used in Microsoft Office applications.
Adobe Flash PlayerがVGX.dllのライブラリを使っているか、
ブラウザ経由でなくても、過去のMicrosoft OfficeがVGX.dllを
使ってるようだから、VGX.dllをUnregisterしとけって事じゃあ
ないっ須賀?(伝聞調)
ブラウザ経由に関していえば、Adobe Flash Playerが実行の
トリガーになってるんドス.
JavaScript及びFlashでそれぞれ障壁バイパスするテクニックの
0dayは伝統芸能みたいなものだから、またかって感じっすね.
前後して発覚した別個の0dayも含めて言や、IE禁止令をテレビで
大々的に流すより、JavaScript禁止令とFlash禁止令を出した方が
よほど世のため人のためデショ.
http://www.zdnet.com/microsoft-clarifies-workarounds-for-ie-zero-day-7000028916/
>The vulnerability, disclosed over the weekend, affects all
>versions of Internet Explorer, but the attacks observed in
>the wild affect only versions 9, 10 and 11. The vulnerability
>uses Adobe Flash as a vector.
一部ではAdobe Flash Playerなしでも脆弱性があるという話も
流れてるようで,
まだ全容は明らかになっていないと思うっすよ,
伏せられているのにも理由があってのことで醤油.
XPパッチあるよw
http://blogs.technet.com/b/msrc/archive/2014/05/01/out-of-band-release-to-address-microsoft-security-advisory-2963983.aspx
XPパッチあるよw
http://blogs.technet.com/b/msrc/archive/2014/05/01/out-of-band-release-to-address-microsoft-security-advisory-2963983.aspx