定例WindowsUpdateとIEの脆弱性
来週水曜日の定例アップデートは少なめ。
マイクロソフト、6月の月例パッチは計5件、うち1件がIEの“緊急”パッチ
マイクロソフト セキュリティ情報の事前通知 - 2013 年 6 月
いつも阿鼻叫喚となる.Net関係は今回は含まれていないようです。含まれてました。
そして、IE6〜9の脆弱性についてのこちらの記事。
情報処理推進機構とJPCERT コーディネーションセンターは6月7日、Microsoft Internet Explorer(IE)に関する脆弱性情報を発表した。
http://www.itmedia.co.jp/enterprise/articles/1306/07/news057.html
こちらに詳細が載ってますが。なんと。
対策方法 アップグレードする
http://jvn.jp/jp/JVN63901692/
Windows 7 以降または Windows Server 2008 R2 以降の Windows を使用しているユーザは、Internet Explorer 10 へアップグレードしてください。
なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。
「修正予定はない」ということは、IE9以前を使っているユーザーは全員IE10にアップデートしなさい、IE9以下は切り捨てます、ということでしょうか。
これはちょっと困った話です。あと一年しか使えないXPはIE8まで対応ですし、まだサポート切れが先のVISTAはIE9までしか対応していません。私はもう7に順応しちゃったからいいですけど、VISTA使いはどうしろっていうんでしょうか。
私も… 私もまだIE9にはしたくないです。
私はメインで使っているブラウザはFirefoxで、補助的にGoogle Chromeを使っています*1。
IEは、専らIEじゃないと正常動作を保証しませんよというところを開く際に使っています。そういうところは、往々にしてまだIE10非対応のところが多いんですよね。それにIEをアップデートして不具合が生じたなんて話も聞きますし、正直まだIE10にはしたくないです。
細工された XML ファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性があります。
http://jvn.jp/jp/JVN63901692/
この脆弱性はローカルのXMLファイルを開くときに影響がある、ということなので、IEを使うのはインターネットに接続する際だけ、ローカルファイルを開くときはIEを使わないようにすれば回避できると考えていいのでしょうか(すでに実行済ですが、IEに関連づけがなされていないのを確認。ローカルファイルは全部Firefoxに関連づけしてあります)。
それなら、IEは9のままにしておくつもりなのですが。
その程度の脆弱性だから「本脆弱性の修正予定はない」ということなのか、それともやっぱりIE9以下を早急に葬り去りたいのか、どうなんだ。
追記(6月12日)
IEの“修正予定がない脆弱性”、これほど問題になるとは……MSが事情説明
「実際にこの脆弱性を悪用した攻撃が成立するにはいくつかの前提条件があるため、脅威は限定的で、緊急性は低い」
「XMLに詳しい人であればどういった仕組みか想像がつくような、仕様的な部分が含まれている」
MSジャパンの公式見解のようです。
未だにIE9以下を主たるブラウザとして使っている人がどういう人たちか、ということを考えると不親切じゃない?という気がしてなりませんが。