Friday, January 22, 2010

Internet Explorer用の緊急パッチリリース

heise online:Der Notfall-Patch für den Internet Explorer

Internet Explorer用の緊急パッチは,累積的な更新プログラムとしてリリースされた.
全部で8種類の脆弱性を解決する.
この更新は,運営上重要な問題で,
Googleがハッキングされたものを補うものだ.
該当の脆弱性を狙ったコードは急速にインターネット上に広まりつつある.

Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.

加えて,Microsoft以外の問題も少し解決している.
間もなく問題となるコードに対してだ.
2つの脆弱性管理の問題とは,12月のIEに対する更新で,
より多くの脆弱性の利用を許してしまったからだ.
結局悲しいかな,Microsoftは自社のInternet Explorer 8 XSS-Problemが虚像となり,
更新をすることになった.

Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird. Zwei weitere Fehler im Speichermanagement hat angeblich bereits der Dezember-Patch für den IE so entschärft, dass sie sich nicht mehr gezielt ausnutzen lassen. Und schließlich hat Microsoft anscheinend auch das bereits bekannte XSS-Problem im Internet Explorer 8 doch noch entschärft.

この脆弱性は全てのWindowsの全てのバージョンのInternet Explorerで関係する.
残念ながらwindows7のIE8でもだ.
このリスクは過去のバージョンにも存在し,
Data Execution Prevention (DEP)やAdress Space Layout Randomisation (ASLR)でも
対処ができない.
可能な限り,全てのwindowsユーザーにインストールしてもらいたい.
もしwindows利用者がこのプログラムを導入できれば,
Internet Explorerを利用するOutlookのコンポーネントにも対応できる.
これらのアプリケーションはこのパッチを利用する.

Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7. Das höchste Risiko trifft zwar die Anwender älterer Versionen, bei denen Schutzmechanismen wie Data Execution Prevention (DEP) und Adress Space Layout Randomisation (ASLR) noch nicht vorhanden oder aktiv sind. Doch auch die lassen sich umgehen, so dass jeder Windows-Nutzer diesen Sammel-Patch einspielen sollte. Im Übrigen können auch andere Windows-Anwendungen für die Probleme anfällig sein, wenn sie wie Outlook Komponenten des Internet Explorer verwenden. Auch diese Applikationen werden durch den Patch geschützt.

興味があるのは,この脆弱性に関してMicrosoftが認めるまでの間,
この問題は昨年9月に「無責任に放置されている」と報道されていた.
おそらくこの議論が示した効果は再度評価されるだろう.
以前のGoogleとAdobeはどちらも感動も,聞きもしなかっただろうが.
どう見てもInternet Explorer 6を乗せていたのに.

Interessant an der Lücke ist noch, dass Microsoft mittlerweile bestätigt, dass das Problem bereits im September vergangenen Jahres via "verantwortungsvoller Offenlegung" bei ihnen gemeldet wurde. Das dürfte die Diskussion um die effizienteste Veröffentlichungsstrategie erneut anheizen. Firmen wie Google und Adobe dürften jedenfalls kaum begeistert davon sein, das zu hören. Andererseits setzten die offenbar ja auch noch Internet Explorer 6 ein.

No comments: