Zap Zero Day IEが攻撃を受ける前に攻撃する

Bugs&Fixes を8年半で102列にしたので、私はこのコラムを書いています。オフ。 PC World は私にこの機会を与えてくれたことに感謝しています。 私はいつも2つの目標を念頭に置いています。現在の脅威を回避し、セキュリティホールとその攻撃がどのように機能するかについての有益な情報を提供するため、将来の問題に対処するための準備が整います。少なくとも私はこれらの目標の精神を遂げてくれることを願っています。今、モンタナにいる私のお父さんが言っていたように、「ナフは言った。」

バグは行進し続けますが、今月も例外ではありません。

[その他の情報：Windows PCからマルウェアを削除する方法]

過去5年間に他のどの時点で行っていたよりも多くのバグ（23の重大な脆弱性を含む）をパッチしたにもかかわらず、 Internet Explorerのすべてのサポートされているバージョン（Internet Explorer 8 Beta 2を含む）に存在していた以前に知られていなかったバグによって盲目的になった。

このバグはマイクロソフトの前にウェブを介して打撃を受けたため、

バグは、XMLと呼ばれるWeb言語を扱う際にIEが依存する「データバインディング」と呼ばれる重要な機能に影響を与えます。

悪意のあるプログラムは、自分のコードを余分なメモリにロードしてバグを悪用し、PCを乗っ取る可能性があります。ブービートラップサイトにアクセスしたり、電子メールで被害を受けたリンクをクリックした場合、IEのセキュリティレベルを最大限に設定しても停止しないと、Microsoftの開発者はその穴を埋めるために修正を急いだが、努力は一週間かかりました。その間に攻撃が広がった。私を間違ってはいけません。ちょうど8日で大きな訂正をしても、それは小さな偉業ではありません。マイクロソフトは、この脅威が、次の「パッチの火曜日」を待つのではなく、パッチを「アウトオブサイクル」で解放することを正当化するほど怖かったと認識しました。

パッチを早急に出す必要があったため、マイクロソフトはIEの修正プログラムを「累積的な更新プログラム」として提供します。マイクロソフトセキュリティ情報からパッチを早急に入手することを強くお勧めします（自動アップデートを有効にしていない場合） MS08-078ページ。

その他のMicrosoftバグ

その他の23の重大なバグはどうですか？

ゼロデイ攻撃の前に、マイクロソフトはInternet Explorer 5.01の4つの重要な穴を修正したIE用の累積的な修正プログラムをリリースしました（Windows 2000 SP4）をIE7（Vista SP1上）にアップします。マイクロソフトのアウト・オブ・サイクル・パッチとは異なり、23の脆弱性のどれもがまだ攻撃されていません。いつものように、アップデートを最新の状態に保つことについては勤勉です。詳細およびパッチへのリンクについては、Microsoft Security Bulletin MS08-073をクリックしてください。マイクロソフトはWindowsのグラフィックスデバイスインターフェイスに2つの穴を設け、プログラムでテキストやグラフィックをWindowsメタファイル形式で表示できるようにしました。これは、一般的にラインアート、イラスト、プレゼンテーションに使用されるファイル形式です。実際に侵害されたときにイメージをロードしていると思うかもしれません。いつものように、攻撃を受けるには、悪意のあるWebサイトにアクセスするか、電子メールでそのリンクをクリックするだけです

Windowsの場合はWindows Vistaの場合は2つの穴がありますが、あなたのPCの制御を完全に失うことになります。 IEのバグと同様に、Searchの穴の1つは、以前に使用されたメモリを解放しようとすると、自動的に開かれます。 VistaにはWindows Searchと呼ばれる機能があり、検索結果を高速化したり、後で再利用するための検索結果を保存できるようにシステムのインデックスを作成します。バグの1つが使用する方法は、不正なリンクを電子メールまたはブービートラップされたサイトで実行して、不正な検索ファイルを開いて保存するように誘導することです。 Windows XPを使用している泥棒はすべて安全です。 Vistaシステム（SP1およびSP2 Betaを含む）だけが危険にさらされます。マイクロソフトセキュリティ情報MS08-075から詳細を入手してください。

彼らがテレビで言うように：しかし、待って、もっと！マイクロソフトでは、Word 2007に影響を及ぼす致命的なバグも含めて、Officeに多数のバグを修正しました。2008年12月のマイクロソフトセキュリティ情報の要約ページで、これらのバグとそのパッチの詳細をご覧ください。

Firefox 2を強制終了

最新のゼロデイ攻撃により、一部の専門家は、IEユーザーがFirefoxに変わるという勧告を更新するようになった。私はそのアドバイスに同意しないが、ハッカーはFirefoxにもっと注意を払い、IEでのマーケットシェアを獲得するために、より多くの穴を開ける可能性が高い。

Firefoxを安全に保つために、 Mozillaはセキュリティホールのバッチにパッチを当てたブラウザ用の新しいアップデートを組み立てました。いくつかは重要なものです。 1つのバグがブラウザのセッション復元機能に含まれています。攻撃者があなたのPCを引き継ぐためにFirefoxのJavaScript（一般的なWebプログラミング言語）エンジンの穴を攻撃者が利用できるようにするものもあります。

今回のFirefox 2.0.0.20のリリースは、 Firefox 2のライン、Mozillaの関係者はブログのポストで発表した。どうして？単一のコードベースをサポートすることは理にかなっているので、MozillaはユーザーにFirefox 3（現在バージョン3.0.5）に移行するよう促している。新しいパッチのうち8つは、バージョン2とバージョン3の両方に適用されます。

Firefoxの自動更新機能を使ってアップデートをインストールしていない場合は、MozillaのFirefoxダウンロードページで入手できます。ブラウザから

ヘルプ、アップデートを確認する

を選択します。

それは私のためです。私は情報の超高速道路をさらに遠くに、いつかあなたをもう一度お会いしたいと思います。