0014まちがって名前消しちゃいました。
2010/02/09(火) 00:54:14ID:???このほど米国ワシントンD.C.で開催されたセキュリティ・カンファレンス「Black Hat DC 2010」では、
アルゼンチン在住のセキュリティ・コンサルタントが、Intetrnet Explorer(IE)の不具合を利用して
ローカル・ドライブにあるファイルにアクセスできることを実演し、Microsoftにセキュリティ・アドバイザリの提供を促した。
メディーナ氏によると、この不具合はIEのあらゆるバージョンに含まれているという。
Microsoftは、この種の攻撃を受ける恐れがあると考えているユーザーに対し、IEを「プロテクト・モード」で
使用するようアドバイスしている。
攻撃方法の1つは、犠牲者が悪意のあるWebサイトへのリンクをクリックするよう仕向けるというものだ。
同氏は、IEの弱点として「同じリソースにアクセスする場合でも、一貫性のある動きをしないこと」を挙げている。
今回のカンファレンスでメディーナ氏が実演したエクスプロイトは、基本的に「一連の脆弱性を順次利用する」というものだ。
同氏は、Microsoftのセキュリティ・チームとこのエクスプロイトについて意見交換を重ねており、
「同社が、この不具合はIEの基本設計に大きく関わっているため、修正できないと見ているのではないかという感触を抱いた」という。
http://www.computerworld.jp/topics/vs/173909.html
