【IT】Microsoft EdgeとIEにゼロデイ脆弱性、セッション情報の露出で個人情報など取得される恐れ
■ このスレッドは過去ログ倉庫に格納されています
ウェブブラウザーのMicrosoft EdgeおよびInternet Explorer(IE)に、セッション情報が露出する「同一生成元ポリシー違反」(CWE-346)の脆弱性があるとして、トレンドマイクロ株式会社が同社セキュリティブログで解説している。
同一生成元ポリシーが機能している場合は、不正なウェブサイトに埋め込まれたJavaScriptがクライアントのキャッシュに保存されたセッション情報にアクセスすることはできないが、この脆弱性が悪用された場合は同一生成元ポリシーの回避に成功し、本来アクセスが制限されているリソースにアクセスできるようになる。
この問題を発見したセキュリティリサーチャーのJames Lee氏は、各ウェブブラウザーの脆弱性を検証するための概念実証(PoC)サイト「pwning.click」を公開している。同ウェブサイトにアクセスすると、検索エンジン「Bing」にリダイレクトされるが、同一生成元ポリシーが適切に機能していれば、埋め込まれたJavaScriptはpwning.clickの情報のみを本来は表示する。
同ウェブサイトに表示されたBingの検索機能を利用すると、検索結果の文字列などを含んだURLがポップアップで表示されるが、これはリダイレクト先のウェブサイトに関する情報へのアクセスが制限されず、攻撃者がユーザーの活動に関する情報にアクセスすることができることを意味する。
https://internet.watch.impress.co.jp/img/iw/docs/1178/149/html/01.jpg.html
Internet ExplorerでPoCサイトにアクセスした結果表示されるポップアップ
URLには、平文またはハッシュ値の形でCookie、セッションID、ユーザー名、パスワード、認証トークンなどの情報が含まれる可能性がある。攻撃者はこの脆弱性を利用することで、例えば、ユーザーの銀行アカウントを侵害し、個人情報にアクセスしたり決済処理を認証することも可能になるという。
トレンドマイクロでは、この脆弱性に対処する修正プログラムが公開されるまで、Microsoft EdgeとIEの使用を控えることを推奨している。
https://internet.watch.impress.co.jp/docs/news/1178149.html
2019年4月3日 19:19 >>1
【拡散希望】反日ドイツの正体
https://ameblo.jp/nihonkaigi-yachiyo/entry-12343607675.html
■日韓慰安婦問題「処理」に関するドイツZDFでの報道
https://www.youtube.com/watch?v=0XjN●Hfg_cK8
中国と韓国、またはその他の
東南アジア出身の女性約20万人が
日本軍の売春宿で働くことを強制された
元兵士であった男性が、いかに
日本軍の部隊が村を襲い
女性たちを連行していったか
自分の国の過去の清算を棚に上げて、よくも日本のこと貶めるフェイクニュースをたれ流してくれたものです。
多くのドイツ人は、自国がホロコーストに対して国家賠償をしていないという事実さえ知らないのにです。
👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf) 割と普通のサイトも表示できないEdge
Chromeに最適化されたところだと確実に何かしらトラブるEdge
IE前提のサイトではそもそも使い物にならないEdge ゼロデイってゼロのつく日は電源を入れなかったらいいの? IEかEdgeが存在しているだけで使っていなくても攻撃できる脆弱性? MS製のブラウザって信用できないわ
ちょろめと火狐併用するしかない IEとEdgeって完全にPCから削除できる?
Windows10だけど エッジなんて表示すらまともに出来ないのに使うわけない クロームが激遅すぎて、こないだエッジに乗り換えたばかりなのに〜!
このエッジのサックサク感はたまらない。 でもこれクロムも同じじゃね
検査されていないだけな気がする >>9
そういうことではないだろ。
ブラウザが持つセッションデータとは、例えばGoogle+やツイ、あま、DMMへログインした段階で生成、保持される。
そのログイン状態を維持したまま、違うGoogleなんかにアクセスすると、Googleがセッション情報を盗み見てセッションハイジャックなんかをできるようになる。
そういう脆弱性だろ。
つまり基本は、ログアウトをキッチリやれつう話 ここでサファリ、火狐、青狐、スレぷに、なんかは名前が上がらない。
ブレイプとかも。 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
【奉祝】新元号公表記念につき2019/4/6まで【奉祝】
だたいま¥0円でダウンロード販売中!
この機会にぜひご利用ください。
法窓夜話私家版 https://www.amazon.co.jp/dp/B07NQCZ7S7
fgk クロムも最近くそ重い。
クロミウムの起動の遅さは意味がわからん。 おれはEDGを使っている。もともとオープンな性格だから個人情報も
知りたい人には包み隠さずオープンが基本だ。盗まれたところで何も
困ることはない。 >>1
何言ってるかわからないので、ぼくの大好きなご飯に例えてみて 業務用PCだと、未だに32bitとかwin7とか普通のhddとかがまだあって、chromeが重すぎて使い物にならず、消去法でIEしか使えないことがままある。 711 Socket774 (ワッチョイ 3b62-s7dq) sage 2019/03/31(日) 19:24:16.16 ID:Tfo8W2Va0
01月01日 Intel CPUのセキュリティ上のバグの存在を指摘する記事が公開される
01月02日 「The Register」が、IntelのCPUに欠陥があると発表
01月03日 「Google Project Zero」が脆弱性の詳細情報を公開
01月03日 やっとIntelがCPUバグの存在を正式に認める
01月12日 Intelが「Microcodeに不具合が確認された」と一部の顧客へ忠告していると報道
01月17日 Intelが複数のCPUで同問題が確認されていることを報告
01月22日 Intelが不具合の調査が終わるまでアップデートを見送るよう発表
02月05日 「Meltdown」「Spectre」を狙うマルウェアサンプルが大量に発見される
03月28日 Spectre系の脆弱性「BranchScope」、Intel製CPUで実証される
04月05日 Intelが旧型CPUの「Spectre」対策中止を発表
05月07日 IntelのCPUに新たな8つの脆弱性が発見、うち4つは高い危険性
05月22日 「Meltdown」「Spectre」関連の脆弱性が2件見つかる
06月15日 Intelプロセッサに新たな脆弱性、投機的実行機能に関連
06月27日 IntelのCPUに新たな脆弱性「TLBleed」が見つかる
07月24日 脆弱性「SpectreRSB」が見つかる
07月27日 Spectreより危険度の高い脆弱性「NetSpectre」が見つかる
08月14日 脆弱性「Foreshadow」(L1TF)が見つかる
08月23日 Intel社が脆弱性対策で低下するマイクロコードアップデート前後のベンチ比較を禁止
08月23日 批判され、Intel社が↑の「ベンチ比較を禁止」を撤回
08月31日 「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚
09月11日 情報漏洩や権限昇格、任意のコード実行などにつながる恐れの脆弱性が複数見つかる
10月10日 Intel製グラフィックドライバーやファームウェアに脆弱性、最大深刻度は“HIGH”
11月05日 Hyper-Threading搭載のIntel CPUに新たな脆弱性、9900K死亡
11月15日 「Spectre」「Meltdown」関連でIntel新たに7件の脆弱性
01月10日 Intel製品に複数の脆弱性、修正版が一斉公開 〜最大深刻度は“HIGH”
02月13日 Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性
03月15日 Intel CPUに新たな脆弱性『Spoiler』。AMD CPUは影響なし
03月31日 インテルのチップセットにも全ての情報が取得できる脆弱性を発見 マイクロソフト系のブラウザなんて1995年以来使ったことがねえや。まあ1995年にはまだなかったけど。
モザイク、ネスケ、firefox、これが正当ネットサーファーの系譜。 マジか、スマホ版も危ないの?
てか同一生成元ポリシーってなんぞ? Firefoxの俺には無問題
っていうかMicrosoftのソフトって全部糞だろ もうMSはブラウザ作るないでくれ
IE対応なんてもうやりたくない MPやIEなんて昭和の情弱しかメインでつかってないだろ 脆弱性を研究してるんだろうな
研究してる人にしかわからないんだから公表することもないだろうって思うわ 余計な機能いらないんだよなぁ
シンプル・堅牢であればいい あれ、e-Taxを使うために、わざわざIEを標準にしたんだがwww
確定申告時期じゃなくてよかったな。 ブラウザーなんかwindows標準のedgeで充分じゃん
わざわざChrome入れてる奴って暇なの?
たかがブラウザーだよ? >>40
国税局「これからもIE11をよろしくお願いします」 マイクロソフトやアップルの不具合に異常に甘い日系マスゴミ
宣伝費たくさん払ってると守られるんだろうな 元々Googleに流れるchorome
百度に流れる火狐
Appleに流れるSafari
選択肢多いなw 後発ぶらうざのくせに、なんでこうも使いづらいのか。 Firefoxでヘッドバンキングするのが一番安全だな うっかり起動させてしまったときのウザさ。
はよ起動しろや、すぐ切るつもりで待ってんだから。 脆弱性
ITの翻訳やってるやつは、コンピュータ音痴で英語と日本語の違いも理解できない、日本語の壊れたアホばかり。
「〜性」てなんやねん、「〜性」て。
古くは、C言語、ホームページから、もうイカレた言葉ばかり >>61
chromeと併用してる。
メモリ使用量が1/4くらいになるのはいいんだけど、やっぱり動画の再生がな。
金かかるから仕方ないんだけど。
翻訳もちょっと不便だね、これも仕方ないが。
でも、動画視聴用のchrome、それ以外のときのkinzaで使い分けてるよ。
せっかくの売りのマウスジェスチャーは覚えようとしたけど身についてないな。 >>61
ググったらJWord株式会社の元部長が立ち上げた会社の製品らしいと出てきた
俺は絶対使わない >>10
来年にはEdgeもchrome派生になるでw >>47
クラウド整ってて簡単で使いやすいだろ
Edgeなんて、めんどくさい ようするにBingに対して情報を漏らすような仕掛けになってたってことだよね? 言うてもゴミブラウザなんか使ってないから被害者居ないだろ IE使ってないはずなのに
IEのキャッシュとか履歴らしき物が有るのは何故?
なんかシステムに食い込んでる感じ なんで、lubuntuつかわんの?
もう、セキュリティなんてほとんど意識してないけど無傷だぜ?w intelもセキュリティ最低なので
amdでlinuxくらいしか選択肢が無い現状 >>4
もうChromiumベースになるからいいんでない
自分はChrome嫌いだから使わないけども ■ このスレッドは過去ログ倉庫に格納されています