日语学习

　　セキュリティ関連のメーリング?リストやWebサイトにおいて，マイクロソフトが7月3日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ?ホールをふさぐパッチではなく， ADODB.StreamをInternet Explorer（IE）から使えないように設定（レジストリ）を変更するプログラムに過ぎないためだ（関連記事）。プログラムを適用したからといって，すべての攻撃を防げるわけではない。
　　6月以降，修正パッチをすべて適用したIEでも，WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち，「Download.Ject」などは，IEのセキュリティ?ホール「クロスドメインの脆弱性」とADODB.Streamを使う。 Windowsに含まれるADODB.Streamは，ファイルを読み書きできるActiveXコントロールで，セキュリティ?ホールとは何ら関係がない。Download.Jectなどがセキュリティ?ホールを突いたときに利用するだけだ。
　　マイクロソフトが公開したプログラムは，ADODB.StreamをIEから使えないように設定変更することで，Download.Jectなどの攻撃を回避できるようにする。セキュリティ?ホールをふさぐものではない。プログラムを適用しても，セキュリティ?ホールは残っている。このため， ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも，「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。
　　実際，ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば，マイクロソフトが公開したプログラムを適用していても，任意のプログラムをダウンロードおよび実行させられるという。
　　米US-CERTでは，マイクロソフトから万全の解決策（例えばパッチ）が公開されるまでは，ADODB.StreamをIEから使えないようにするだけではなく，「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。
　　译文对照：
　　在与安全相关的邮件列表和Web网站上，日前有人公布了一种即使安装了日本微软7月3日公布的“使ADODB.Stream失效的程序也无法避免的攻击方法。微软发布的程序并不是修补安全漏洞的补丁，而只是通过更改设定（注册表）使得从Internet Explorer（IE）上无法再使用ADODB.Stream的程序。安装该程序也并非可以防止所有的攻击。
　　6月以来，即使是安装了所有的修正补丁的IE，仅仅浏览Web网页和Html邮件就可能遭受攻击——这种攻击代码越来越多。在这类代码中，“Download.Ject”等利用了IE的安全漏洞“跨域（Cross Domain）弱点”和ADODB.Stream。Windows里包含的ADODB.Stream是可以读写文件的ActiveX控件，与安全漏洞并没有任何关系。仅是被Download.Ject利用来突破安全漏洞。
　　微软此次发布的程序，通过更改设定使得从IE上无法再使用ADODB.Stream，以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程序，安全漏洞依然存在。因此，无法防止通过ADODB.Stream以外的控件发起的进攻。美国US-CERT也告诫说：“要警惕那些不使用ADODB.Stream的其它攻击方法”。
　　实际上，互联网上已经出现了使用ADODB.Stream以外控件的攻击方法。使用这些方法，即使是安装了微软公布的程序，也有可能在不知情的情况下下载并运行任意程序。
　　US-CERT建议说，在微软公布完善的解决方案（比如补丁）之前，不仅要通过设定使IE无法再使用ADODB.Stream，还要“使javascript和ActiveX控件失效”、“不要点击可疑邮件中给的链接”以及“使用杀毒软件”。

　　相关推荐：
　　日语报刊每日一读(7月)汇总
　　日语报刊选读汇总（6月）

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页