2月のWindows Update、実はIEの脆弱性が残ったままらしい

なぜか、あんまり日本では話題になっていませんが、先日リリースされた Internet Explorer 向けのセキュリティアップデート、最近明らかになった IE のでっかい脆弱性が解決してないのだそうだ。

Microsoft's Patch Tuesday release leaves one big vulnerability unpatched | ZDNet

This month's Patch Tuesday release includes three updates rated Critical, including a massive security update that fixes more than 40 flaws in Internet Explorer. A recently disclosed XSS vulnerability remains unpatched, however, and one Windows Server 2003 bug won't be fixed.

火曜日の定例アップデートには緊急の格付けされた3つのアップデートと40ものIEのセキュリティの欠陥の修正が含まれている。
しかしながら最近明らかになったXSSの脆弱性が未パッチのまま残されており、Windows Server 2003 等のバグが修正されることはないのだ。


どういうことかというと、
修正されたのは
マイクロソフト セキュリティ情報 MS15-009 - 緊急

CVE-2014-8967
CVE-2015-0017
CVE-2015-0018
CVE-2015-0019
CVE-2015-0020
CVE-2015-0021
CVE-2015-0022
CVE-2015-0023
CVE-2015-0025
CVE-2015-0026
CVE-2015-0027
CVE-2015-0028
CVE-2015-0029
CVE-2015-0030
CVE-2015-0031
CVE-2015-0035
CVE-2015-0036
CVE-2015-0037
CVE-2015-0038
CVE-2015-0039
CVE-2015-0040
CVE-2015-0041
CVE-2015-0042
CVE-2015-0043
CVE-2015-0044
CVE-2015-0045
CVE-2015-0046
CVE-2015-0048
CVE-2015-0049
CVE-2015-0050
CVE-2015-0051
CVE-2015-0052
CVE-2015-0053
CVE-2015-0054
CVE-2015-0055
CVE-2015-0066
CVE-2015-0067
CVE-2015-0068
CVE-2015-0069
CVE-2015-0070
CVE-2015-0071
となっている。

最近話題になってるXSSはこちら

Internet Explorer UXSSの脆弱性 (CVE-2015-0072)
Internet Explorer has a Cross Site Scripting zero-day bug | Naked Security
JVNDB-2015-001340:Microsoft Internet Explorer 10 および 11 におけるクロスサイトスクリプティングの脆弱性
Internet Explorerの脆弱性 CVE-2015-0072 についてまとめてみた。 - piyolog

調べてみると、影響を受ける IE10 と IE11 にセキュリティーホールがあってサーバーのグループポリシーを迂回できるというもの

|。・ω・)。o ( ZD-Net さん、『サポート切れ間際の Windows Server 2003にパッチが適用されない!』言うてはるけど、関係ないやんか! )

お粗末!

おすすめ

1件の返信

  1. M_M より:
    2015年2月17日 12:57 PM

    トレンドマイクロさんがこの脆弱性について試験したところ、
     IE8はOK、IE9以降がアウト
    とのことです。
    ttp://blog.trendmicro.co.jp/archives/10889
    パッチが遅れている件については、テストもろくにされてないもので壊されるよりマシ、って考えることにした

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です