ISA Serverなどになりすましの脆弱性 - IEの未修正の脆弱性は「確認中」

  [2004/11/10]

マイクロソフトは、月例のセキュリティ情報を更新、「ISA Server 2000 および Proxy Server 2.0 の脆弱性により、インターネット コンテンツのなりすましが行われる (888258) (MS04-039)」の修正パッチを公開した。両製品にコンテンツのなりすましの危険性が存在、実際にアクセスしたサイトとは異なるWebページを閲覧させられる可能性がある。対策はパッチを適用すること。最大深刻度は上から2番目の「重要」。

今回の脆弱性は、両製品のいずれかを使用している環境で、攻撃者が用意したWebサイトにアクセスして、サーバーにそれがキャッシュされると、それ以降、実際にアクセスしようとしたサイトと異なるサイトに誘導され、なりすましが行われる、というもの。

ただしSSL証明書を詐称することはできないず、SSLセッションの確立ができないので、URLは正しいにもかかわらず警告メッセージが表示されるため、そのような場合はなりすましの可能性を疑える。

DNSキャッシュを悪用するため、DNSキャッシュのサイズをゼロに設定することで影響を回避できるが、DNS解決にマイナスの影響があるとして、同社では短期的な回避策、としている。根本的な解決にはパッチを適用する必要がある。

なお、同社では11月から、定例のセキュリティ情報公開(日本時間毎月第2水曜日)に先立って一般的な要約を毎月第2水曜日の3営業日前に公表することを決めており、今回の情報も先行して公開されていた。事前公開では、セキュリティ情報の件数、予測される深刻度、影響を受ける可能性のある製品などが公開されることになっているが、実際のリリース時に内容は変更される可能性がある、としている。

ちなみに、11月2日にデンマークのセキュリティベンダーのSecuniaが公開したInternet Explorerの未公表の脆弱性を利用したウイルスMyDoom.AHも登場しているが、この脆弱性について同社は「確認中」としている。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

[内田理央]「MORE」連動の水着写真集 逢沢りなと2ショットも
[00:00 6/26] エンタメ
『ニンジャスレイヤー』、コンピアルバム「伐」発売記念でニコ生一挙放送
[00:00 6/26] ホビー
AKB総監督・横山由依の苦悩の3カ月に密着「海外に逃亡したいと思ったことも」
[23:00 6/25] エンタメ
Iカップ青山ひかる、初のパンスト姿は「すごくソソられます」と自画自賛
[23:00 6/25] エンタメ
Fカップ永井里菜、加山雄三に胸キュン「ぽっちゃりとしたおじさまが好き」
[23:00 6/25] エンタメ

求人情報