小野寺です。
昨日、Internet Explorer に関するセキュリティ アドバイザリ 961051を公開しました。
Web サイトを見る事で、脆弱性が悪用される可能性があり、現在サポートされている Internet Explorer が影響を受けます。
しかしながら、Windows Vista の Internet Explorer 7 や Internet Explorer 8 (Beta) は、保護モードにより脆弱性が悪用された場合でも、システムへ侵入される可能性を抑える事ができます。
また、Windows XP および Windows Vista については、データ実行防止 (DEP) が機能として有りますが、互換性の為に既定では無効となっています。Internet Explorer 8 (Beta) を導入している環境では、既定で有効です。
現在、更新プログラムの提供を含めて検討・作業を進めており、新たな対策等は、Web サイトおよび、セキュリティ警告サービスでお伝えしていきます。
現時点で、リスクを回避する方法としては、アドバイザリ記載の幾つかの回避策の内で、影響の少ないものを選択して適用する事を推奨します。 回避策を取れない場合や、個人の利用者の方は、最低限のセキュリティ対策は実施していただきたいと考えています。
直接的に関連するわけではありませんが、Web サイトを悪用した攻撃では、SQL インジェクションも並行して行われる事が多く、個々の Web サイトが、本脆弱性を悪用するプラットフォームにならない様に、改めて SQL インジェクションへの対応をお願いしたいところです。SQL インジェクション自体は、Web サイトやそのバックエンド データベースの情報を抜き取る手段にも使われており、今回の件に関係なく Web サイトにとっては必要な対策となっています。
Web サイトが、SQL インジェクションで攻撃を受け、結果としてそのサイトの利用者に被害が及ばないようにするための情報として以下を公開しています。
SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx
参考資料
- マイクロソフト セキュリティ アドバイザリ 954462
http://www.microsoft.com/japan/technet/security/advisory/954462.mspx - 第 2 回 SQL インジェクション その攻撃と対処
http://download.microsoft.com/download/4/2/4/424c5178-40ed-48fc-8b2c-690f99f1171e/Security_L100SQLINJECTION_2.ppt - SQL Server 2005 Books Online : SQL インジェクション
http://msdn2.microsoft.com/ja-jp/library/ms161953.aspx - How To: ASP.NET で SQL 注入(インジェクション)から保護する方法
http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/paght000002.aspx - コード レビュー : SQL インジェクション
http://msdn.microsoft.com/ja-jp/library/cc402232.aspx - URLScan セキュリティ ツール
http://www.microsoft.com/japan/technet/security/tools/urlscan.mspx