[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:04698] Re: 結論は“捨てられないIE”?(Re: Re: IE すてられるのか?
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:04698] Re: 結論は“捨てられないIE”?(Re: Re: IE すてられるのか?
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sat, 13 Dec 2003 14:53:31 +0900
Port139 伊原です。単に技術的なお話しですが...
On Sat, 13 Dec 2003 10:42:45 +0900
TAKAHASHI Motonobu <monyo@xxxxxxxxxxxxxx> wrote:
>そもそも、Internet Explorer といっても、最近の iexplorer.exe は、各種
>DLL を呼び出す、皮に過ぎません。実体は、例えば XML のパーサであれば
>msxml.dll とか HTML であれば、mshtml.dll が行っています。なので、EXE
>レベルで iexplorer.exe に制限をかけても、別のプログラムがその DLL を呼
>び出していれば、結局脆弱性の影響を受ける可能性はあることになりますねぇ。
脆弱性のあるファイル(exe,dll etc...)については、ソフトウェアの制限
ポリシー(ハッシュ値を利用)を使えば実行・ロードを抑止できますよね。
Microsoft から提供される Hotfix で、更新されるファイルが“脆弱”と
いうことでしょうから The Sleuth Kit の Bad Datbase のような方式を
取れれば、過去にリリースされているものについては“ソフトウェアの制
限ポリシー”で対処可能でしょうね。
逆に、そこまで厳密に管理すれば IE の脆弱性を利用した攻撃については、
“被害発生”を押さえ込むことが可能かもしれません。
# 新しいのは Hotfix 出るまで駄目ですが...
ps
Hfnetchk や MBSA では、システム全体をチェックするわけでなく XML に
記載された“既定のパス上”のファイルを対象としてチェックするだけで
すので、アプリケーションが“脆弱なファイル”を独自にロードしている
場合、見落としが発生する可能性がありますから、“脆弱性を押さえこむ”
にはかなり厳密なチェックが必要になりますね。
MBSA 1.2 がシステム上にある全ファイルを対象に実行できるようになって
リリースされれば別なんでしょうけど...ひょっとしてなるのかな?
--
『強いWindowsの基本』 やっとでました(^^;;
http://www.seshop.com/detail.asp?pid=4449
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/