Internet Explorerの脆弱性に関するアドバイザリ & SQL インジェクション

小野寺です。


昨日、Internet Explorerに関するセキュリティ アドバイザリ 961051を公開しました。
Webサイトを見る事で、脆弱性が悪用される可能性があり、現在サポートされている Internet Explorerが影響を受けます。
しかしながら、Windows Vista のInternet Explorer 7 や Internet Explorer 8 (Beta) は、保護モードにより脆弱性が悪用された場合でも、システムへ侵入される可能性を抑える事ができます。
また、Windows XP および Windows Vista については、データ実行防止 (DEP) が機能として有りますが、互換性の為に既定では無効となっています。Internet Explorer 8 (Beta) を導入している環境では、既定で有効です。


現在、更新プログラムの提供を含めて検討・作業を進めており、新たな対策等は、Webサイトおよび、セキュリティ警告サービスでお伝えしていきます。
現時点で、リスクを回避する方法としては、アドバイザリ記載の幾つかの回避策の内で、影響の少ないものを選択して適用する事を推奨します。 回避策を取れない場合や、個人の利用者の方は、最低限のセキュリティ対策は実施していただきたいと考えています。

直接的に関連するわけではありませんが、Webサイトを悪用した攻撃では、SQL インジェクションも並行して行われる事が多く、個々のWebサイトが、本脆弱性を悪用するプラットフォームにならない様に、改めてSQL インジェクションへの対応をお願いしたいところです。SQL インジェクション自体は、Webサイトやそのバックエンド データベースの情報を抜き取る手段にも使われており、今回の件に関係なくWebサイトにとっては必要な対策となっています。


Webサイトが、SQL インジェクションで攻撃を受け、結果としてそのサイトの利用者に被害が及ばないようにするための情報として以下を公開しています。


SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx


参考資料



 

Share