セキュリティ雑感

普通のユーザは、自動更新で全部当ててしまえば細かいことを気にする必要はないのですが。未解決のセキュリティホールはどのような条件の場合に多いのか。将来発見される安全な選択はどういうものなのか。という観点からここでは見ています。

これまでの結論はWindows2000 は止めましょう。IEはさっさと7.0にしてしまいましょう。WindowsXP SP2 もWindows2000 に比べれば危険なセキュリティホールは少ないけど、Vista ならもっと少ないね。Office2000もできれば止めて2007を買うのがベスト。でも財布の都合もあってなかなか思うに任せないというなら「Office ファイルを開くときに確認するツール」をインストールしておきましょう、と言うものです。

ところがさっさとIE7に更新しても、これって逃れられないの？　というのがMS08-023　ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)　です。

MS08-023の「問題を緩和する要素」の最後のこの記述があります。

しかし、お客様がこの ActiveX コントロールを Internet Explorer の以前のバージョンで使用している場合、お客様が ActiveX のオプトイン機能を使用して明確に許可していなくても、この ActiveX コントロールは Internet Explorer 7 で機能するために有効となっています。

とありますが、これはどういう場合でしょうか。
例えば最初からIE7だったPCは関係ないけど、IE6 SP2 だった人が、IE7 に上げた場合には有効になっていてこのセキュリティホールが存在するとか。
まあ、現時点では自動更新で該当するもの全部をあててしまえば問題は無いのですが。

ところでこのMS08-023はActiveX にkill bitを立てる、IEから使えないようにするということで、これまではIEのパッチでした。ところが今回から分類としてはIEではなくなっています。MSの「日本のセキュリティチーム」BLOG によるとこういうことらしいです。

kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。

まあ、それは妥当かと。