ISA Serverなどになりすましの脆弱性 - IEの未修正の脆弱性は「確認中」

 

マイクロソフトは、月例のセキュリティ情報を更新、「ISA Server 2000 および Proxy Server 2.0 の脆弱性により、インターネット コンテンツのなりすましが行われる (888258) (MS04-039)」の修正パッチを公開した。両製品にコンテンツのなりすましの危険性が存在、実際にアクセスしたサイトとは異なるWebページを閲覧させられる可能性がある。対策はパッチを適用すること。最大深刻度は上から2番目の「重要」。

今回の脆弱性は、両製品のいずれかを使用している環境で、攻撃者が用意したWebサイトにアクセスして、サーバーにそれがキャッシュされると、それ以降、実際にアクセスしようとしたサイトと異なるサイトに誘導され、なりすましが行われる、というもの。

ただしSSL証明書を詐称することはできないず、SSLセッションの確立ができないので、URLは正しいにもかかわらず警告メッセージが表示されるため、そのような場合はなりすましの可能性を疑える。

DNSキャッシュを悪用するため、DNSキャッシュのサイズをゼロに設定することで影響を回避できるが、DNS解決にマイナスの影響があるとして、同社では短期的な回避策、としている。根本的な解決にはパッチを適用する必要がある。

なお、同社では11月から、定例のセキュリティ情報公開(日本時間毎月第2水曜日)に先立って一般的な要約を毎月第2水曜日の3営業日前に公表することを決めており、今回の情報も先行して公開されていた。事前公開では、セキュリティ情報の件数、予測される深刻度、影響を受ける可能性のある製品などが公開されることになっているが、実際のリリース時に内容は変更される可能性がある、としている。

ちなみに、11月2日にデンマークのセキュリティベンダーのSecuniaが公開したInternet Explorerの未公表の脆弱性を利用したウイルスMyDoom.AHも登場しているが、この脆弱性について同社は「確認中」としている。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

【特別企画】ランサムウェアに引っかかった!? - Acronis True Imageのイメージバックアップで最後の砦を築いておく(後編)
[07:00 7/25] パソコン
八田亜矢子、東大クイズ合戦で「女性の強いところを見せる!」も痛恨ミス
[07:00 7/25] エンタメ
カシオの電子辞書「EX-word」、20周年記念プレスイベントで語られた歴史
[07:00 7/25] スマホとデジタル家電
JPEGはなぜここまで普及したのか? ~専門家に聞いてきた~ 第5回 JPEG 2000対応カメラが無い理由
[07:00 7/25] 企業IT
深海底のレアアース泥は堆積速度の遅い環境に存在 - 東大などがデータ解析
[07:00 7/25] テクノロジー

求人情報