Internet Explorer 周辺でのパッチが出ていない脆弱性

脆弱性のいっぱいあるIEを使いたい場合どうしたら良いのか

IEを使う場合には常識的には、ゾーンごとのセキュリティーレベルの設定を以下のようにするべきでしょう。ほとんどのバグには対処できるでしょう。信頼が出来て必要がある時だけ「信頼済みサイトの登録」をするのです。

  • インターネットゾーン・・・・・・高
  • イントラネットゾーン・・・・・・中
  • 信頼済みサイトゾーン・・・・・・中
  • 制限付きサイトゾーン・・・・・・高

この設定で駄目ならIEは使えません。年末を迎えるにあたってキナ臭いセキュリティーホールについて発表されているようですが注意したいところです。

脆弱性のいっぱいあるIEを使いたい場合どうしたら良いのか(間違い例)

以下の設定は間違いです。このような設定を推奨しているサイトは間違い。

  • インターネットゾーン・・・・・・高
  • イントラネットゾーン・・・・・・中ないし中低
  • 信頼済みサイトゾーン・・・・・・低
  • 制限付きサイトゾーン・・・・・・高

パッチが出ていないIE脆弱性はどのくらいあるのか

さて、以上を踏まえて。。。今年も終わりに近づいてきました。UNPATCHEDなIEセキュリティーホールがどのくらいあったのかなぁと思いました。こういう時に便利なのが以下のページです。

Secunia - Vulnerability Report - Microsoft Internet Explorer 6 # List of Patched/Unpatched Secunia Advisories
http://secunia.com/product/11/#advisories

こうしてみると公式パッチの出ていないバグがいっぱいあることにあらためて気がつかされます。ほぼ半年前、2004-06-11に発表されているHighly criticalなSA11830にもまだパッチが出ていないとのこと。いったいぜんたいユーザの自衛措置としてはどうしたら良いのでしょうか。

Secuniaによれば、自衛措置は以下のようです。

Solution:

Set the security level for all zones to "High" in Internet Explorer. This will impair functionality on many web sites.

Don't follow links from untrusted sources, but input URLs manually in the address bar.

ということは、以下のようなセッティング。

  • インターネットゾーン・・・・・・高
  • イントラネットゾーン・・・・・・高
  • 信頼済みサイトゾーン・・・・・・高
  • 制限付きサイトゾーン・・・・・・高

その上、信頼できないページのリンクを踏むな、と。

このお話の続きが明日の日記にあります。

Internet Explorer FTP ダウンロード時のパス漏洩

私の理解力がないのですが、以下に発表されている脆弱性?はbugtraqにもfull-disclosureにも投稿されていないような気がします。

Ineternet Explorer FTP download path disclosure
http://216.239.37.104/translate_c?hl=es&ie=UTF-8&oe=UTF-8&langpair=es%7Cen&u=http://www.7a69ezine.org/node/view/176

id:tessyさんあたりにトラックバック