INTERNET_EXPLORER-376359
Hewlett-Packard(HP)の研究チームが、「Internet Explorer(IE)」の脆弱性を攻撃できるエクスプロイトコードを公開した。Microsoftがパッチ公開を拒否したことを受けての措置だ。

HPのシニアセキュリティコンテンツデベロッパーDustin Childs氏はブログ投稿において、コードの公開は「あてつけや悪意」によるものではなく、HPの情報開示ポリシーにのっとった措置だと説明している。

「われわれとのやりとりの中で、Microsoftは今回の研究結果に対策を講じる予定がないことを認めたため、この情報を公表する必要性を感じた」とChilds氏は述べている。Microsoftは2015年、この脆弱性を発見した同チームに12万5000ドルの報奨金を授与した(報奨金はのちに寄付された)にもかかわらず、脆弱性の修正は行わないようだ。

攻撃者はこの脆弱性を利用することで、人気ブラウザIEに数多く備わる防衛線の1つ、アドレス空間配置のランダム化(ASLR)を回避することができる。脆弱性の影響を受けるのは32ビットシステムだけだが、HPのチームは、最近では64ビットシステムが多いといっても、依然として多数のシステムが影響を受けると述べている。

パッチが提供されないこと受けて、HPのチームは「Windows7」と「Windows8.1」向けの概念実証(PoC)コードを公開した。
https://github.com/thezdi/abusing-silent-mitigations
http://japan.cnet.com/news/service/35066325/
3: 名無しさん@1周年 2015/06/23(火) 14:40:18.22 ID:zW/5ZsDd0.net
32bitは自然消滅するので作らない



17: 名無しさん@1周年 2015/06/23(火) 14:53:21.57 ID:Din44wOQ0.net
HPがPC用のHP-UXをリリースすればいいのに。

>>3
だろうね。
Win8発売で、メーカー製PCは64ビットがデフォの様な状況になってるし。
10はそれがより加速すると思うんだな。
俺はまだ暫く7Pro64使うけど、Macに戻ろうかと考え始めたところ。



34: 名無しさん@1周年 2015/06/23(火) 17:00:58.17 ID:5mzkI2Re0.net
>>3
だったらWin7の32から64bitへのアップグレードさせてくれよ。



36: 名無しさん@1周年 2015/06/23(火) 17:05:07.15 ID:/LRt5OoR0.net
>>34
2回買えこの野郎


ってことだろ、マイクロソフト的には



37: 名無しさん@1周年 2015/06/23(火) 17:24:24.03 ID:YSoPjXKg0.net
>>34
CPU交換しない限り無理だから



39: 名無しさん@1周年 2015/06/23(火) 17:39:08.65 ID:QsMJD+810.net
>>37
おいw それは違うぞ



21: 名無しさん@1周年 2015/06/23(火) 15:12:59.74 ID:QsMJD+810.net
32ビットはIEじゃなくてOSの話か



44: 名無しさん@1周年 2015/06/23(火) 20:27:54.57 ID:/+GHJBw50.net
hpはバグだらけのソフトばっかのくせに



5: 名無しさん@1周年 2015/06/23(火) 14:40:57.87 ID:vCkZplkf0.net
永遠に脆弱性無くならないのか、他のブラウザと比べて圧倒的に多いだろ



30: 名無しさん@1周年 2015/06/23(火) 16:38:32.82 ID:HDQmyFMP0.net
>>5
利用者数が段違いに多いせいでIEは脆弱に見られがちだが、実際IE自体はかなり堅牢
Flashプラグイン関連除くとかなり少ない

尚、細やかなサポートとイメージ戦略で気付き辛いがFirefoxは毎週の様に脆弱性が発見されてたりするバグ最多ブラウザだったりする



38: 名無しさん@1周年 2015/06/23(火) 17:27:37.75 ID:YSoPjXKg0.net
>>30
そのJavaとflashobjectがハッキングの最多だろ



7: 名無しさん@1周年 2015/06/23(火) 14:43:08.95 ID:2yS4N5oc0.net
>>弱性の影響を受けるのは32ビットシステムだけだが、
とりあえず俺には関係ないな



8: 名無しさん@1周年 2015/06/23(火) 14:43:28.44 ID:I9zF5+oe0.net
全然使わないからどうでもいいけど



10: 名無しさん@1周年 2015/06/23(火) 14:46:05.06 ID:PUsEc6+Q0.net
俺には関係ねえ



12: 名無しさん@1周年 2015/06/23(火) 14:47:56.17 ID:e8sEth3v0.net
修正できるの?簡単には出来ないからなのか?



13: 名無しさん@1周年 2015/06/23(火) 14:49:35.80 ID:Rj+GxitP0.net
結果的にはIEユーザーに対する嫌がらせ



14: 名無しさん@1周年 2015/06/23(火) 14:50:17.87 ID:vn305J2E0.net
俺Chromeだから平気



16: 名無しさん@1周年 2015/06/23(火) 14:50:32.39 ID:e8sEth3v0.net
素人が理解できるように具体的にどうなるのか
教えてよ



23: 名無しさん@1周年 2015/06/23(火) 15:24:29.14 ID:hPxL/s9S0.net
必死のパッチやな



29: 名無しさん@1周年 2015/06/23(火) 16:28:54.73 ID:7Orvs6Wz0.net
MS「いちいちパッチ連発するコストなんてあるか」



24: 名無しさん@1周年 2015/06/23(火) 15:45:30.99 ID:OXtIdrcM0.net
10年以上I.Eはつかってない
OSから独立してれば削除したいくらいだ



33: 名無しさん@1周年 2015/06/23(火) 16:58:27.30 ID:3HF3yFRh0.net
IEはとかく狙われやすいからね。企業ももっとも使ってるし。
だからIEを標的としたコードを仕込むサイトが最多という事情もあって
IEがもっとも危険なブラウザであるという事実は今までもこれからも変わらない。
CHROMEやFIREFOXはIEと較べて二番手三番手的なポジションだからこそセキュアと言われている部分もある。
Fireoxのバグ報告が多いのは、利用者の意識の違いが大きいだろうね。

Firefox自体強固なセキュリティを持ったブラウザだけども、
オープンソースという思考をもった人々が
もっとFirefoxの完成度を上げようと熱意をかけてるがゆえに
見た目のバグ報告が多い。
でも、それだけ熱心にバグ報告と、修正についても
CHROMEよりはるかに大勢の人間が関わってやってる。

CHROMEはその点、ソースコードが秘密のブラックボックスだからね。
そういう熱意を持つ人が少ない=バグを見つけたり報告する人が少ないので脆弱性が見つかりにくく、 修正もされにくいという側面もある。



35: 名無しさん@1周年 2015/06/23(火) 17:03:09.58 ID:rP6vKvMe0.net
>>33
そうか、firefox がバクだらけなのは多くのド素人が作っているからか。
使っててイライラする。



40: 名無しさん@1周年 2015/06/23(火) 18:26:17.50 ID:CpI5bRZG0.net
>>33,35
関係ないけど、プロが作っているWindowsとofficeのバグの多さにも呆れる。
firefoxとか目じゃないほど安定度低い。



41: 名無しさん@1周年 2015/06/23(火) 18:57:03.09 ID:DX/Jfx8A0.net
10に乗り換えを促すためだな。
10の一般用にはIE無いし



43: 名無しさん@1周年 2015/06/23(火) 20:24:01.91 ID:g+3phKAP0.net
もうソースコードの公開を義務付けるしかないね



32: 名無しさん@1周年 2015/06/23(火) 16:52:39.63 ID:XwCnf7oq0.net
スパルタンつこうてや



27: 名無しさん@1周年 2015/06/23(火) 15:56:40.11 ID:uPLSQCGM0.net
まだXPでIE使ってます(´・ω・`)
http://ai.2ch.sc/test/read.cgi/newsplus/1435037922/
スポンサードリンク