カテゴリー「IE」の6件の記事

2018年12月10日 (月)

MSEdge 〜 EdgeHTMLからBlinkへ

EdgeブラウザがついにChromiumを採用へ
 http://www.itmedia.co.jp/pcuser/articles/1812/09/news016.html

 Windows 10のデフォルトブラウザ「Microsoft Edge」が大きな転機を迎えました。
 MicrosoftがEdgeブラウザを、オープンソースの「Chromium」ベースに変えると発表したのです。Edgeがこれまで採用してきた独自のHTMLレンダリングエンジン「EdgeHTML」は、Chromiumが使っている「Blink」に切り替わります。新しいEdgeのプレビュー版は2019年初頭にも配信される見込みです。
・・・
 実はそもそもEdgeのシェアはものすごく小さいのですが、かといってMicrosoftのデフォルトブラウザを無視するわけにもいきません。以下は、StatCounterの調査によるデスクトップとモバイルを合わせた11月のWebブラウザの利用シェアです。

StatCounterによるWebブラウザ利用シェア(2018年11月)

 それによると、Chromeの約60%に対して、Edgeは2%未満です。2000年代前半に訪れた「Internet Explorer」の最盛期には及びませんが、Chromeが圧倒的です。
・・・

コードネーム「Spartan」と呼ばれていたこのEdge。初版が2015年に出てから、わずか3年で、自前のレタリングエンジンが終了ということになります。

MSがChromeのエンジン「Blink」を採用する時代が来るなど、想定もしていませんでした。
ただ、これがオープンソース陣営にとって、吉と出るかは不明な気がします。

  
 
 
 

〔関連ページ〕
 ・「IEに脆弱性」で年配社員パニック】の記事ネタを万人向けに翻訳してみる  

 
 
 
 

【ブラウザ関連・外部サイト】
 ・危険すぎる!UCブラウザはあなたの現在地を世界に送信している!  

 
 
 
 
 
 
 

2015年2月 6日 (金)

セキュリティ情報:IEゼロデイ脆弱性 〜 UXSS攻撃

IEにゼロデイ脆弱性 - トレンドマイクロは「すぐに攻撃が発生する可能性」
 http://news.mynavi.jp/news/2015/02/06/072/

・・・
今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。
具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。
トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。
・・・

とりあえず、IE以外のブラウザを利用の方は、心配する必要は無いかと。



〔関連ページ〕
 ・セキュリティ情報 - WindowsXP windows7 IE8 IE9 対象
 ・マルウェア・ウイルス感染の原因(1):データファイル系

 
 
 
 
 

2014年10月18日 (土)

セキュリティ情報:銀行情報が盗まれる 〜 アダルトサイトよく見るIEユーザーは注意を

アダルトサイトよく見るIEユーザーは注意、銀行情報盗むマルウェアの標的に
 http://internet.watch.impress.co.jp/docs/news/20140718_658714.html

インターネットバンキングなどの認証情報を盗むマルウェアが、比較的利用者の多い日本のアダルトサイトに仕込まれていたことが分かった。スロバキアのセキュリティベンダーであるESETが、16日付の同社公式ブログで報告している。このマルウェアは「Win32/Aibatook」と呼ばれるもので、すでに2013年末に米Symantecによって報告されていたが、今年4月中旬以降、改良された新バージョンが確認されているという。

・・・

これらのサイトに仕掛けられた攻撃は、Java SEの脆弱性「CVE-2013-2465」をピンポイントで突いて、Win32/AibatookをPCにダウンロードし、感染させるもの。ただし、この脆弱性はすでに2013年6月に修正済みとなっている。

一方、Win32/Aibatookは、Internet Explorer(IE)だけを標的にしている点で特徴的だという。IE特有の実装を悪用して情報を窃取するため、ESETによれば、他のブラウザーでは情報摂取の操作が行えないという。ESETでは、日本はIEが最も使われている国の1つでもある点を指摘。この特徴からも、Win32/Aibatookは日本を標的にしたマルウェアであるとみている。

・・・

Win32/Aibatookが情報を窃取する機能は2つあるという。まず1つ目が、特定のインターネットバンキングの認証情報を盗むための機能で、具体的にはゆうちょダイレクトと住信SBIネット銀行が標的に設定されていた。感染PCのIEからこれらのインターネットバンキングサイトにアクセスしているのを検知すると、偽の入力画面を表示して暗証番号などを窃取する
もう1つが、広範なID・認証情報を窃取する機能だ。入力フォームの情報を窃取する仕組みとなっており、ESETでは、標的に設定されているドメインを87件突き止めた。このうちサービス内容が分かったドメインは、銀行が23件、ホスティングプロバイダーが5件、ドメイン名登録サービスが1件。やはり銀行が多いが、ホスティングプロバイダーも含まれている点にESETは着目。Win32/Aibatookの感染先から窃取したホスティングプロバイダーのアカウントでウェブサイトに侵入・改ざんし、同様の攻撃を仕込むことで、さらにそのサイトの閲覧者に感染を試みるという攻撃の連鎖が可能になるとしている。

・・・

図で表すとだいたいこんな感じになります。
 001_virus_3
ホスティングプロバイダーへの侵入の話は端折ってありますが。

IEユーザは特にご注意を。

 
 
 

〔関連ページ〕
 ・セキュリティ情報 - WindowsXP windows7 IE8 IE9 対象 
 ・マルウェア・ウイルス感染の原因(1):データファイル系

 
 
 
 

2014年8月15日 (金)

セキュリティ情報:IEとFlashのアップデート情報

マイクロソフト、月例セキュリティ更新(8月) - IEとMedia Centerで2件の「緊急」脆弱性
 http://news.nifty.com/cs/technology/techalldetail/mycom-20140813-20140813159/1.htm

・・・

MS14-051は、Internet Explorerに含まれる26件の脆弱性に関する情報で、このうち1件はすでに脆弱性情報が公開されており、1件は非公開ながら悪用が確認されている。

公開、悪用されていた脆弱性は、いずれも特権の昇格の脆弱性。特権が昇格することで別の脆弱性を悪用して任意のコードが実行される危険性がある。今回の脆弱性では、特定の条件下で許可を適切に検証しないため特権が昇格し、スクリプトが昇格された特権で実行される可能性がある。

それ以外の24件は、いずれもメモリ破損の脆弱性で、IEがメモリ内のオブジェクトに不適切にアクセスし、リモートでコードが実行される危険性がある。特権の昇格と組み合わせることで、対象となるPCの制御が完全に奪取される可能性が存在する

対象となるのはInternet Explorer 6/7/8/9/10/11で、IE6はWindows Server 2013上のみアップデートが提供される。最大深刻度は全体で「緊急」、悪用可能性指標は「0」、適用優先度は「1」となっている。

・・・

 

「Adobe Flash Player」の最新版アップデートを推奨- 旧バージョンに脆弱性

 

http://news.nifty.com/cs/technology/techalldetail/mycom-20140813-20140813119/1.htm

・・・

アップデートが推奨される製品とバージョンは、「Adobe Flash Player 14.0.0.145 (Internet Explorer、Google Chrome、Mozilla Firefox)」。同バージョンには複数の脆弱性があり、遠隔の第三者が細工したコンテンツをユーザーに開かせることで、Adobe Flash Playerが不正終了させたり、ユーザーのPC上で任意のコードを実行させたりする可能性があるという。

こうした危険を回避するため、アドビ システムズが提供する対策済みの最新版「Adobe Flash Player 14.0.0.176 (Internet Explorer)」、「Adobe Flash Player 14.0.0.177 (Google Chrome)」、「Adobe Flash Player 14.0.0.179 (Mozilla Firefox)」へアップデートすることが推奨されている。最新版についての詳細、およびダウンロードは、Flash Player ダウンロードセンターから。また、自身のPCにインストールされている製品バージョンは、アドビ システムズのWebページにて確認可能だ。

なお、Windows 8用「Internet Explorer 10」、「Windows 8.1 用Internet Explorer 11」および「Google Chrome」には標準でFlash Playerが同梱されている。「Windows 8用Internet Explorer 10」および「Windows 8.1用Internet Explorer 11」では、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。Google Chromeはアップデート時にAdobe FlashPlayerが更新される

なお、注意したいのは、メインブラウザとしてInternet Explorerを使っていない場合でも、「Microsoft Office」などのソフトウェアはInternet Explorer用にインストールされているFlash Playerを使用すること。そのため、同社は常用しているブラウザが異なる場合でも、Internet Explorer用のFlash Playerも併せて確認するよう促している。

 

なんか、いろいろと、脆弱性報告が上がっていますね。
対象の方はアップデートを忘れずに。

 
 
 

〔関連記事〕
 ・リスクセパレータ環境づくり(5):Windowsセキュリティ設定 強化編

 
 

 
 
 


2014年5月13日 (火)

PCに詳しい人ほどIEを使わない

日本のブラウザ普及率はIEが約50%と統計で出ているらしい。
ところが・・・。

01_201404

先月のうちのサイトの訪問者のブラウザ別統計なのだけれども、50%どころか25%も無い。

ウチのサイトはセキュリティの話やツールの使い方の話が多いことから、訪問者は平均的なPCユーザより、セキュリティを意識している人や、PCに詳しい人に偏っていると考えられる。

PCに詳しい人ほど、FirefoxやChromeを使う傾向があると考えて良さそうだ。
 
 

おまけ:OS別統計
02_201404
う〜む、偏りがあり過ぎるような気がする。
まぁ、Linuxのネタが多いサイトでもありますから。

Windowsについては月末にXPが8に抜かされてた模様。(誤差の範囲かもしれないが。)
ちなみに、自分のアクセスはIPのフィルタリングにより除外されているので、念の為。


〔関連ページ〕
 ・セキュリティ情報 - WindowsXP windows7 IE8 IE9 対象 
 ・ウェブブラウザの利用シェア
 ・ブラウザ 歴史ブラウザとHTMLの歴史

 




 

2014年1月 5日 (日)

セキュリティ情報 - WindowsXP windows7 IE8 IE9 対象

日本の中枢狙う標的型攻撃が発覚、ゼロデイ脆弱性を使う周到な手口
 http://itpro.nikkeibp.co.jp/article/COLUMN/20131126/520792/?ST=security&P=1

2013年8月下旬から9月にかけて、日本の中央官庁を狙った大掛かりなサイバー攻撃が発生していたとわかった。セキュリティ大手のラックが10月9日、米マイクロソフトが同日セキュリティ更新プログラムを公開したWebブラウザー「Internet Explorer(IE)」の脆弱性は、政府機関などに緊急対応する過程で同社が見つけた 〜

〜「Windows XPWindows 7で、IE 8IE 9を使っている」というユーザー環境だけを攻撃対象としていた。ラックの西本 逸郎CTOは、「中央官庁の環境や行動パターンを攻撃者が熟知していた証拠」と指摘する。 〜

Ie_logo_3
昔から、IE (Internet Explorer) はセキュリティリスクが他のブラウザよりも高いって言われているのに・・・。「Firefox」 や 「Google Chrome」などの他のブラウザを使えば、リスクはずっと減らせるんですけれども、アンチウイルスとかファイアーウォールで防げるとでも思っているんでしょうか。
ソフトの欠陥による脆弱性をついた攻撃は防げません。情報管理者は知らないのか、それともやらないのか、公官庁のセキュリティ管理に不安を感じます。
大丈夫か、我々の個人情報は。まぁ、狙われてるのは公官庁だけではないですけれども。


日本を標的にした攻撃が増加、シマンテックが2013年のセキュリティ脅威を総括
  http://itpro.nikkeibp.co.jp/article/NEWS/20131220/526222/?ST=security&P=2

〜「我々が確認している標的型攻撃の4割が従業員数が500人未満の企業を狙っている。つまり、これは大手企業だけの問題だけでなく、大手企業のサプライチェーンに入っている中小企業の問題でもあることを認識すべき」と指摘した 〜

ちなみに最近のぜい弱性が三大ターゲット は「IE、Adobe Reader、Java」がトレンドのようです。

「ロシア発、セキュリティ最新事情レポート - IE、Adobe Reader、Javaのぜい弱性が三大ターゲット:ITpro」
  http://itpro.nikkeibp.co.jp/article/COLUMN/20110225/357684/

ところで IE の ActiveX は昔はよく危険だと騒がれてましたが、最近はどうなんでしょうか。リスクよりも利便性優先? いゃ、知らないのかな・・・。
まぁ、昔はyoutueなんてサイトは無かったし、ActiveXが無ければ不便ていうのはセキュリティアップデート以外の時は無かったものですが。

IEにフィッシングの危険--ActiveXに問題 (2004)
  http://japan.cnet.com/news/service/35039771/

ActiveXコントロール
  http://www5e.biglobe.ne.jp/kenji-w/pc/ActiveXcontrol.html

便利で危険な ActiveX
  http://www.mecha-security.com/archives/2005/03/_activex.html

とりあえず、リスクがありそうなサイトだなぁと思ったら、IE以外のブラウザでサイトを見ることをお勧めします。

Browser_c_2

firefox
  http://www.mozilla.jp/firefox/

Google Chrome
  http://www.google.co.jp/intl/ja/chrome/browser/

Opera
  http://www.opera.com/ja



〔関連ページ〕
 ・マルウェア・ウイルス感染の原因(1):データファイル系
 
 
    
 
 

2021年5月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ