2月のWindows Update、実はIEの脆弱性が残ったままらしい
なぜか、あんまり日本では話題になっていませんが、先日リリースされた Internet Explorer 向けのセキュリティアップデート、最近明らかになった IE のでっかい脆弱性が解決してないのだそうだ。
Microsoft's Patch Tuesday release leaves one big vulnerability unpatched | ZDNet
This month's Patch Tuesday release includes three updates rated Critical, including a massive security update that fixes more than 40 flaws in Internet Explorer. A recently disclosed XSS vulnerability remains unpatched, however, and one Windows Server 2003 bug won't be fixed.
火曜日の定例アップデートには緊急の格付けされた3つのアップデートと40ものIEのセキュリティの欠陥の修正が含まれている。 |
どういうことかというと、
修正されたのは
マイクロソフト セキュリティ情報 MS15-009 - 緊急
CVE-2014-8967
CVE-2015-0017
CVE-2015-0018
CVE-2015-0019
CVE-2015-0020
CVE-2015-0021
CVE-2015-0022
CVE-2015-0023
CVE-2015-0025
CVE-2015-0026
CVE-2015-0027
CVE-2015-0028
CVE-2015-0029
CVE-2015-0030
CVE-2015-0031
CVE-2015-0035
CVE-2015-0036
CVE-2015-0037
CVE-2015-0038
CVE-2015-0039
CVE-2015-0040
CVE-2015-0041
CVE-2015-0042
CVE-2015-0043
CVE-2015-0044
CVE-2015-0045
CVE-2015-0046
CVE-2015-0048
CVE-2015-0049
CVE-2015-0050
CVE-2015-0051
CVE-2015-0052
CVE-2015-0053
CVE-2015-0054
CVE-2015-0055
CVE-2015-0066
CVE-2015-0067
CVE-2015-0068
CVE-2015-0069
CVE-2015-0070
CVE-2015-0071
となっている。
最近話題になってるXSSはこちら
Internet Explorer UXSSの脆弱性 (CVE-2015-0072)
Internet Explorer has a Cross Site Scripting zero-day bug | Naked Security
JVNDB-2015-001340:Microsoft Internet Explorer 10 および 11 におけるクロスサイトスクリプティングの脆弱性
Internet Explorerの脆弱性 CVE-2015-0072 についてまとめてみた。 - piyolog
調べてみると、影響を受ける IE10 と IE11 にセキュリティーホールがあってサーバーのグループポリシーを迂回できるというもの
|。・ω・)。o ( ZD-Net さん、『サポート切れ間際の Windows Server 2003にパッチが適用されない!』言うてはるけど、関係ないやんか! )
お粗末!
トレンドマイクロさんがこの脆弱性について試験したところ、
IE8はOK、IE9以降がアウト
とのことです。
ttp://blog.trendmicro.co.jp/archives/10889
パッチが遅れている件については、テストもろくにされてないもので壊されるよりマシ、って考えることにした